Re: VPN ipsec Verbindungsproblem
On Thu, 14 Apr 2005, Rene Zingel wrote:
> Irgendwie sitze ich hier seit 14 Tagen an VPN und bin langsam am
> Rumbocken oder Verzweifeln. :-(
Hallo :-)
Willkommen im Club - aber wenn's denn mal läuft, dann ist man nach so
einer Frustphase sowas von ... wie soll ich sagen... :-)
> Beim neu erstellen erhalte ich die Klasse Meldung:
> (ipsec auto --add base1_to_backup)
> 027 bad --keyid "base1-backup": does not look numeric and name/
> lookup failed
In der Konfig fehlt neben "right" noch "rightid" für den Roadwarrior,
würde ich als erste Vermutung abgeben wollen.
So sieht eine funktionierende Konfig auf dem Server aus ( schau' mal in
die Received-Zeilen dieser Mail und vergleiche die Subnets ):
conn extta
# Left security gateway, subnet behind it, next hop toward right.
left=www.antepoth.de
leftid=@www.antepoth.de
leftsubnet=192.168.101.254/24
leftnexthop=%defaultroute
# RSA 4096 bits p10068250 Wed Feb 27 15:50:52 2002
leftrsasigkey=0sAQODr37......
# Right security gateway, subnet behind it, next hop toward left.
right=%any
rightid=@sg-ta.local
rightsubnet=192.168.186.0/24
rightnexthop=
# RSA 4096 bits sofa Sun Jan 6 10:57:13 2002
rightrsasigkey=0sAQNrgB......
# To authorize this connection, but not actually start it, at startup,
# uncomment this.
authby=rsasig
auto=add
# rekeymargin=1m
# rekeyfuzz=0%
keyingtries=1
Und das ist die korrespondierende Konfig auf dem Client:
conn extta
# Left security gateway, subnet behind it, next hop toward right.
left=www.antepoth.de
leftid=@www.antepoth.de
leftsubnet=192.168.101.254/24
leftnexthop=
# RSA 4096 bits p10068250 Wed Feb 27 15:50:52 2002
leftrsasigkey=0sAQODr37i6Z....
# Right security gateway, subnet behind it, next hop toward left.
right=sg-ta.local
rightid=@sg-ta.local
rightsubnet=192.168.186.0/24
rightnexthop=%defaultroute
# RSA 4096 bits sofa Sun Jan 6 10:57:13 2002
rightrsasigkey=0sAQNrgBt/....
# To authorize this connection, but not actually start it, at startup,
# uncomment this.
authby=rsasig
auto=start
# rekeymargin=1m
# rekeyfuzz=0%
keyingtries=0
# keylife=2m
Beide Parts sind Linux:
Client:
fw1:/etc # rpm -q freeswan
freeswan-1.99_0.9.34-93
Server:
a15166696:~# apt-cache show freeswan
Package: freeswan
Priority: optional
Section: net
Installed-Size: 5345
Maintainer: Rene Mayrhofer <rmayr@debian.org>
Architecture: i386
Version: 2.04-11.3
sg-ta.local als externe IP-Adresse des Clients lasse ich lokal resolven
- Du müsstest da vielleicht dyndns nehmen oder so.
Nun meine Frage: Du schriebst, daß Du mit Windows und RSA-Auth an
ipsec drangehst? Welchen Client verwendest Du da?
t++
Reply to: