Hi Marco! Ich habe ein ähnliches Setup, mit Windows XP im Hintergrund. Ich schreibe dir kurz meine Konfiguration: ---- Konfiguration auf Linux-Recher "linuxtest" ---- Entspricht bis auf den letzten Abschnitt der SuSE-Standardkonfiguration # basic configuration config setup interfaces=%defaultroute lots. klipsdebug=none plutodebug=none actions. plutoload=%search plutostart=%search uniqueids=yes conn %default keyingtries=0 disablearrivalcheck=no authby=rsasig leftrsasigkey=%cert rightrsasigkey=%cert conn tobilaptop authby=rsasig rightrsasigkey=%cert left=10.142.11.10 leftcert=linuxtest.crt # not neccessary leftid="C=DE, ST=Baden-Wuerttemberg, L=Tuebingen, O=Universitaetsklinikum Tuebingen, OU=Allgemeine Chirurgie, CN=linuxtest.allgchir.med.uni-tuebingen.de/emailAddress=root@linuxallgchir" auto=add right=%any ---- Windows-XP-Konfiguration ---- In der MMC, mit dem Span-In für "IP-Sicherheitsrichtlinien auf Lokaler Computer": - "IP-Filterlisten und Filteraktionen verwalten" - Filterliste hinzufügen - Namen, etc eingeben - "Assistenten verwenden" deaktivieren - "Hinzufügen..." - Quelladresse "Eigene IP-Adresse" - Zieladresse "Spezielle IP-Adresse" - IP-Adresse des Peers eingeben - Auch für gegenteilige Adressen zulassen - FERTIG Dann: - Neue Richtlinie erstellen (immernoch in der MMC) - Name usw. ausfüllen, Standardantwortregel deaktivieren - Eigenschaften bearbeiten aktiviert lassen - IP-Sicherheitsregel "Hinzufügen...", Assistenten davor deaktivieren - Im Registerreiter "IP-Filterliste" die vorhin erstelle Regel aktivieren - Im Reiter "Filteraktion" die Aktion "Sicherheit erforderlich" aktivieren - Im Reiter "Authentifizierungsmethoden" das CA-Zertifikat für Authentifizierung verwenden (vorher importieren!) - Kerberos anschliessend aus der Liste der Methoden löschen. - FERTIG Nun mit Ping probieren, ob alles geklappt hat. Unter Windows 2000 muss man AFAIK noch die Policy an die Netzwerkkarte binden. Das geht in den Eigenschaften der Netzwerkkarte. Ich find den manuellen weg irgendwie "übersichtlicher" als dieses ipsec.exe-Paket. Das ist aber Geschmackssache. ---- Ausgabe auf linuxtest beim Start der IPsec-Verbindung ---- Bei dir fehlt leider so ziemlich jede Meldung, die bei mir kommt... Feb 12 09:11:30 linuxtest pluto[7893]: packet from 10.142.11.45:500: ignoring Vendor ID payload Feb 12 09:11:30 linuxtest pluto[7893]: "tobilaptop"[3] 10.142.11.45 #5: responding to Main Mode from unknown peer 10.142.11.45 Feb 12 09:11:31 linuxtest pluto[7893]: "tobilaptop"[3] 10.142.11.45 #5: Peer ID is ID_DER_ASN1_DN: 'C=DE, ST=Baden-Wuerttemberg, L=Tuebingen, O=Universitaetsklinikum Tuebingen, OU=Allgemeine Chirurgie, CN=tobilaptop.allgchir.med.uni-tuebingen.de, E=tobias.heide@med.uni-tuebingen.de' Feb 12 09:11:31 linuxtest pluto[7893]: "tobilaptop"[3] 10.142.11.45 #5: Issuer CRL not found Feb 12 09:11:31 linuxtest pluto[7893]: "tobilaptop"[3] 10.142.11.45 #5: Issuer CRL not found Feb 12 09:11:31 linuxtest pluto[7893]: "tobilaptop"[4] 10.142.11.45 #5: deleting connection "tobilaptop" instance with peer 10.142.11.45 Feb 12 09:11:31 linuxtest pluto[7893]: "tobilaptop"[4] 10.142.11.45 #5: sent MR3, ISAKMP SA established Feb 12 09:11:31 linuxtest pluto[7893]: "tobilaptop"[4] 10.142.11.45 #6: responding to Quick Mode Feb 12 09:11:31 linuxtest kernel: ipsec4_rcv: no policy for packet Feb 12 09:11:31 linuxtest kernel: ipsec4_rcv: incoming packet failed policy check; dropped Feb 12 09:11:31 linuxtest pluto[7893]: "tobilaptop"[4] 10.142.11.45 #6: IPsec SA established Dabei fällt mir ein, dass ich mal eine CRL erzeugen wollte... ;-) Hoffe, das hat dich weiter gebracht. Ich musste auch immer wieder probieren (über viele verschiedenen FreeS/WAN-Versionen hinweg), bis es mal im Kopf oben geklackt hat. Nur nicht aufgeben! Grüße, tobi -- Universitätsklinik für Allgemeine Chirurgie Tübingen Telefon: (07071) - 29 86592 Nach 16.30 Uhr: (07071) - 29 70335 http://www.medizin.uni-tuebingen.de/~tsheide/