IPSec (racoon) und fehlender payload

To: debian-user-german@lists.debian.org
Subject: IPSec (racoon) und fehlender payload
From: Hagen Kühnel - debianlist <debian@hagk.de>
Date: Thu, 29 Apr 2004 10:15:49 +0200
Message-id: <[🔎] 20040429081549.GB2212@tuxpavilion.home.hagk.de>

Hallo,

Nach einigen Tagen grübeln möchte ich hier einmal in die Runde
fragen.

Ich habe eine nette Verbindung zum Gateway, Phase 1 und 2 sind
abgeschlossen, die policy ist fertig generiert (roadwarrior).

Nun sollten die Nutzdaten folgen, also z.B. ein ICMP-Ping, oder ein
TCP-Packet an Port 22. Doch da kommt nichts! Rein gar nichts. Nach
einiger Zeit wird die policy wieder bereinigt, um bei einer neuen
Initialisierungsphase neu aufgebaut zu werden.


Frage: Kann das Firewall-technisch mit $whatever zu tun haben? Das
Gateway hängt hinter einem DSL-Router (ELSA), hat UDP 500 und TCP 22 
offen, so dass ich von einem anderen client unverschlüsselt die log
mitlesen kann (daran liegt es nicht, Port 22 ist neu). Weiterhin
habe ich extra konfiguriert, Protokoll 50 + 51 seien immer ACCEPT.

Wenn ich mit dem Raodwarrior auf dieses Gateway zugreife, wenn es
neben mir steht (netztechnisch), klappt alles. Es soll ja aber ....

Und was mich sehr verwundert ist, dass die Authentifizierung
erfolgreich durchläuft, erst danach nichts mehr passiert.


Konfiguration ist:
Kernel 2.6.4, ESP,AH IPComp-Module geladen, racoon-src 0.3, 
PSK-Authentifizierung
ggü: WinXP mit vpn.ebootis

Wohl gemerkt, wenn die Kisten im selben Netz stehen, klappt alles.
Und: die Authentifizierung über die Router verläuft auch erfolgreich.


racoon.log (info-level) des GW sagt:

respond new phase 1 negotiation: gateway - roadwarrior
begin identity protection mode
received vendor id: MS NT5 ISAKMPOKLAEY
ISAKMP-SA established gateway - roadwarrior spi:spi_1: spi_2
respond new phase 2negotiation gateway - roadwarrior
IPsec-SA established ESP/Tunnel roadwarrior - gateway spi=spi_3
IPsec-SA established ESP/Tunnel gateway - roadwarrior spi=spi_4
etwas später
purged IPsec-SA proto_id=ESP spi=spi_4
purged ISAKMP-SA proto_id=ISAKMP spi=spi_1:spi_2
ISAKMP-SA deleted gateway - roadwarrior


Ich wäre hocherfreut, einen kleinen Hinweis zur Fehlerfindung zu
erhalten, z.B. welcher evtl. Port noch gebraucht wird.

tschüss
	Hagen
-- 
69/ 80
Wir halten uns für den Spiegel und ahnen nur selten, wie sehr der 
andere seinerseits eben der Spiegel unsres erstarrten 
Menschenbildes ist, unser Erzeugnis, unser Opfer.
				Max Frisch, Tagebuch 1946-1949

Reply to:

Prev by Date: Re: musikalische Festplatte?
Next by Date: Re: USB Stick als Boot-Disk Ersatz
Previous by thread: Re: Server-Hardware
Next by thread: Kernelmeldung verstehen
Index(es):
- Date
- Thread