Re: ipsec racoon tunnel

To: Ralf Liebig <ralf-liebig@gmx.net>
Cc: debian-user-german@lists.debian.org
Subject: Re: ipsec racoon tunnel
From: Hagen Kühnel - HagK <hagk@hagk.de>
Date: Sat, 5 Jun 2004 14:27:28 +0200
Message-id: <[🔎] 20040605122728.GB7177@tuxpavilion.home.hagk.de>
In-reply-to: <[🔎] 40bf6666$0$166$9b622d9e@news.freenet.de>
References: <[🔎] 40bf6666$0$166$9b622d9e@news.freenet.de>

Hallo Ralf,

Am Don, 03 Jun 2004, schrieb Ralf Liebig:

> ich habe mit einem 2.6er Kernel und ipsec-Tools einen Racoon-Server laufen.
> Bei der Verbindung mit einem anderen Rechner für einen Tunnel bringt er
> jedoch folgenden Fehler:
> Jun  3 19:26:09 test01 racoon: ERROR: phase1 negotiation failed due to time
> up. 31e7af22cc20d683:b98f601bdc7aee59

Sieht verdammt nach Zertifikatsfehler aus. zumindest klappt Phase 1
nicht und er kommt gar nicht in Phase 2. Demnach ist sowas wie
NAT-T Fehler eigentlich schon fast auszuschließen.

> Kennt jemand den Fehler? Ich habe mich nun einige Zeit mit IP-Sec
> beschäftigt und so langsam raucht mir der Kopf... vielleicht übersehe ich
> ja etwas einfaches... Mir scheint er kommt nie über Phase 1 hinaus.

Na wenigstens ging es nicht nur mir so. ;)
Ich denke, dass Racoon auch noch nicht völlig bugfrei ist. "Mein"
Standleitung-Gateway resetete nähmlich nicht nach einer Stunde die
established-Verbindung, was wegen dial-up des Initiierenden gateways
problematisch ist.


> Vielen Dank für jede Art von Hilfe oder Tipps wo ich wissenswertes finde.
s.u.

> -------- racoon.conf ---------
>         #situation identity_only;

was besagt diese Anweisung eigentlich? Ich habe da nirgends eine
schlaue Doku gefunden.

>         my_identifier address 195.243.27.122;
>         peers_identifier address 194.25.154.194;

oho, doch keine Zertifikate?

> Jun  3 19:25:49 test01 racoon: DEBUG: 180 bytes from 10.0.1.1[500] to
> 194.25.154.194[500]

Hier sendet doch jemand NAT-T?! Die private IP stimmt doch nicht mit
my_identifier überein!

> Jun  3 19:25:49 test01 racoon: DEBUG: sockname 10.0.1.1[500]
> Jun  3 19:25:49 test01 racoon: DEBUG: send packet from 10.0.1.1[500]
> Jun  3 19:25:49 test01 racoon: DEBUG: send packet to 194.25.154.194[500]
> Jun  3 19:25:49 test01 racoon: DEBUG: src4 10.0.1.1[500]
> Jun  3 19:25:49 test01 racoon: DEBUG: dst4 194.25.154.194[500]

Wo lauscht denn das Gateway? scheinbar doch an 10.0.1.1. Das kommt
dann mit der auth_by_address aber nicht hin.

> Jun  3 19:26:09 test01 racoon: ERROR: phase1 negotiation failed due to time
> up. 31e7af22cc20d683:b98f601bdc7aee59

Und irgendwann gibt das antwordende Gateway auf. Genau das steht
hier. Die Problematik mit disfunktionaler MTU1500 via
DSL-Verbindungen kommt eigentlich erst nach der erfolgreichen
Authentifizierung.

TCPdump verrät dann den passenden MTU-Wert.


Als Literatur hatte ich spenneberg und Lipp (beide A-Wesley). Hat
aber auch nicht wirklich geholfen, außer mich in die Theorie
einzuarbeiten. Die Praxis hapert immer an irgendwelchen speziellen
Details. Wichtig natürlich die Manpages und Google. Zertifikate
extrakte ich immer aus dem pkcs12, wichtig: der Key mus RSA-sig
sein, sonst klappt das nicht mit dem Key. Kann aber alles auf einem
seperaten CA-Rechner gemacht werden. Klar, die CA muss bei beiden
identisch sein.

Beste Grüße,
Hagen
-- 
25/ 81
Eine Sammlung von Kenntnissen macht keine Wissenschaft aus.
                                                      Hegel

Reply to:

References:
- ipsec racoon tunnel
  - From: Ralf Liebig <ralf-liebig@gmx.net>

Prev by Date: Re: Freigabe eines CD/DVD-Brenners übers Netzwerk?
Next by Date: Re: Wer benutzt GNUSTEP und hat Erfahrungswerte?
Previous by thread: ipsec racoon tunnel
Next by thread: Netzwerk, Beobachtung was ist los, was kommt an, was abgeleht und warum
Index(es):
- Date
- Thread