Hallo! Befolge die Anleitung von www.freeswan.org: http://www.freeswan.org/freeswan_trees/freeswan-1.95/doc/HowTo.html Die ist wesentlich ausführlicher als der Artikel aus der c't und ziemlich idiotensicher, wenn man denn das Englische nicht scheut. MfG, Marc Am Donnerstag, 1. August 2002 16:00 schrieb Manfred Kreisl:

Hallo Liste,

derzeit versuche ich bislang vergeblich eine VPM mittels FreeSWAN 1.98b aufzubauen.

Die Konfiguation sieht momentan so aus

LEFT ---------- Internet ----------- RIGHT (srvlin2)

SuSE 7.2 SuSE 7.2 Kernel 2.4.19-rc1 Kernel 2.4.19-rc2 Modem ppp0 Fritz-Classic, AVM Treiber, i4l ippp0

Konfiguiert habe ich es nach Anleitung aus der aktuellen c't 16/2002. Hat soweit geklappt, FreeSWAN startet auch. Doch jetzt das Problem

Initiiert LEFT die Verbindung, kommt bei RIGHT auf Port 500 auch ein Paket an, nur dann passiert gar nichts mehr. In /var/log/messages sieht das auf RIGHT so aus:

Aug 1 02:39:09 srvlin2 pluto[14391]: | *received 176 bytes from 213.6.65.90:500 on ippp0 Aug 1 02:39:09 srvlin2 pluto[14391]: | ae d3 4b 09 81 65 49 5a 00 00 00 00 00 00 00 00 Aug 1 02:39:09 srvlin2 pluto[14391]: | 01 10 02 00 00 00 00 00 00 00 00 b0 00 00 00 94 Aug 1 02:39:09 srvlin2 pluto[14391]: | 00 00 00 01 00 00 00 01 00 00 00 88 00 01 00 04 Aug 1 02:39:09 srvlin2 pluto[14391]: | 03 00 00 20 00 01 00 00 80 0b 00 01 80 0c 0e 10 Aug 1 02:39:09 srvlin2 pluto[14391]: | 80 01 00 05 80 02 00 01 80 03 00 03 80 04 00 05 Aug 1 02:39:09 srvlin2 pluto[14391]: | 03 00 00 20 01 01 00 00 80 0b 00 01 80 0c 0e 10 Aug 1 02:39:09 srvlin2 pluto[14391]: | 80 01 00 05 80 02 00 02 80 03 00 03 80 04 00 05 Aug 1 02:39:09 srvlin2 pluto[14391]: | 03 00 00 20 02 01 00 00 80 0b 00 01 80 0c 0e 10 Aug 1 02:39:09 srvlin2 pluto[14391]: | 80 01 00 05 80 02 00 02 80 03 00 03 80 04 00 02 Aug 1 02:39:09 srvlin2 pluto[14391]: | 00 00 00 20 03 01 00 00 80 0b 00 01 80 0c 0e 10 Aug 1 02:39:09 srvlin2 pluto[14391]: | 80 01 00 05 80 02 00 01 80 03 00 03 80 04 00 02 Aug 1 02:39:09 srvlin2 pluto[14391]: | **parse ISAKMP Message: Aug 1 02:39:09 srvlin2 pluto[14391]: | initiator cookie: Aug 1 02:39:09 srvlin2 pluto[14391]: | ae d3 4b 09 81 65 49 5a Aug 1 02:39:09 srvlin2 pluto[14391]: | responder cookie: Aug 1 02:39:09 srvlin2 pluto[14391]: | 00 00 00 00 00 00 00 00 Aug 1 02:39:09 srvlin2 pluto[14391]: | next payload type: ISAKMP_NEXT_SA Aug 1 02:39:09 srvlin2 pluto[14391]: | ISAKMP version: ISAKMP Version 1.0 Aug 1 02:39:09 srvlin2 pluto[14391]: | exchange type: ISAKMP_XCHG_IDPROT Aug 1 02:39:09 srvlin2 pluto[14391]: | flags: none Aug 1 02:39:09 srvlin2 pluto[14391]: | message ID: 00 00 00 00 Aug 1 02:39:09 srvlin2 pluto[14391]: | length: 176 Aug 1 02:39:09 srvlin2 pluto[14391]: | ***parse ISAKMP Security Association Payload: Aug 1 02:39:09 srvlin2 pluto[14391]: | next payload type: ISAKMP_NEXT_NONE Aug 1 02:39:09 srvlin2 pluto[14391]: | length: 148 Aug 1 02:39:09 srvlin2 pluto[14391]: | DOI: ISAKMP_DOI_IPSEC Aug 1 02:39:09 srvlin2 pluto[14391]: packet from 213.6.65.90:500: initial Main Mode message received on 62.153.19.74:500 but no connection has been authorized Aug 1 02:39:09 srvlin2 pluto[14391]: | next event EVENT_SHUNT_SCAN in 104 seconds

Es wird also "no connection authorized", warum wieso, erst mal keine Ahnung

Initiiert RIGHT die Verbindung, geht überhaupt kein Paket raus. In /var/log/messages sieht das auf RIGHT so aus:

Aug 1 02:41:58 srvlin2 pluto[14391]: | sending 176 bytes for EVENT_RETRANSMIT through ippp0 to 62.104.218.87:500: Aug 1 02:41:58 srvlin2 pluto[14391]: | d2 92 51 17 d4 19 a5 cc 00 00 00 00 00 00 00 00 Aug 1 02:41:58 srvlin2 pluto[14391]: | 01 10 02 00 00 00 00 00 00 00 00 b0 00 00 00 94 Aug 1 02:41:58 srvlin2 pluto[14391]: | 00 00 00 01 00 00 00 01 00 00 00 88 00 01 00 04 Aug 1 02:41:58 srvlin2 pluto[14391]: | 03 00 00 20 00 01 00 00 80 0b 00 01 80 0c 0e 10 Aug 1 02:41:58 srvlin2 pluto[14391]: | 80 01 00 05 80 02 00 01 80 03 00 03 80 04 00 05 Aug 1 02:41:58 srvlin2 pluto[14391]: | 03 00 00 20 01 01 00 00 80 0b 00 01 80 0c 0e 10 Aug 1 02:41:58 srvlin2 pluto[14391]: | 80 01 00 05 80 02 00 02 80 03 00 03 80 04 00 05 Aug 1 02:41:58 srvlin2 pluto[14391]: | 03 00 00 20 02 01 00 00 80 0b 00 01 80 0c 0e 10 Aug 1 02:41:58 srvlin2 pluto[14391]: | 80 01 00 05 80 02 00 02 80 03 00 03 80 04 00 02 Aug 1 02:41:58 srvlin2 pluto[14391]: | 00 00 00 20 03 01 00 00 80 0b 00 01 80 0c 0e 10 Aug 1 02:41:58 srvlin2 pluto[14391]: | 80 01 00 05 80 02 00 01 80 03 00 03 80 04 00 02 Aug 1 02:41:58 srvlin2 pluto[14391]: | inserting event EVENT_RETRANSMIT, timeout in 20 seconds for #1 Aug 1 02:41:58 srvlin2 pluto[14391]: | next event EVENT_RETRANSMIT in 20 seconds for #1 Aug 1 02:41:58 srvlin2 pluto[14391]: | rejected packet: Aug 1 02:41:58 srvlin2 pluto[14391]: | Aug 1 02:41:58 srvlin2 pluto[14391]: | control: Aug 1 02:41:58 srvlin2 pluto[14391]: | 2c 00 00 00 00 00 00 00 0b 00 00 00 71 00 00 00 Aug 1 02:41:58 srvlin2 pluto[14391]: | 02 03 0d 00 00 00 00 00 00 00 00 00 02 00 00 00 Aug 1 02:41:58 srvlin2 pluto[14391]: | 3e 68 c7 79 00 00 00 00 00 00 00 00 Aug 1 02:41:58 srvlin2 pluto[14391]: | name: Aug 1 02:41:58 srvlin2 pluto[14391]: | 02 00 01 f4 3e 68 da 57 00 00 00 00 00 00 00 00 Aug 1 02:41:58 srvlin2 pluto[14391]: ERROR: asynchronous network error report on ippp0 for message to 62.104.218.87 port 500, complainant 62.104.199.121: No route to host [errno 113, origin ICMP type 3 code 13 (not authenticated)] Aug 1 02:41:58 srvlin2 pluto[14391]: | next event EVENT_RETRANSMIT in 20 seconds for #1

Da schreibt er, dass er nach Right das Paket nicht senden konnte. Komisch, da ssh, ping einwandfrei funktionieren.

Was mir nur aufgefallen ist: bei RIGHTs ippp0 steht die Routeraddresse immer auf der P-z-P Adresse, bei LEFTs ppp0 immer auf der inet Adresse. Könnte da vielleicht ein Problem liegen?

Rechner RIGHT: -------------- ifconfig ippp0: ippp0 Protokoll:Punkt-zu-Punkt Verbindung inet Adresse:62.155.129.53 P-z-P:193.158.131.185 Maske:255.255.255.255 UP PUNKTZUPUNKT RUNNING NOARP DYNAMIC MTU:1500 Metric:1 RX packets:13861 errors:0 dropped:0 overruns:0 frame:0 TX packets:13249 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:30 RX bytes:1780933 (1.6 Mb) TX bytes:1437164 (1.3 Mb)

route -N: Kernel IP Routentabelle Ziel Router Genmask Flags Metric Ref Use Iface 193.158.131.185 0.0.0.0 255.255.255.255 UH 0 0 0 ippp0 192.168.100.0 192.168.99.1 255.255.255.0 UG 0 0 0 eth0 192.168.98.0 0.0.0.0 255.255.255.0 U 0 0 0 eth3 192.168.99.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 123.123.123.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 142.120.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth2 0.0.0.0 193.158.131.185 0.0.0.0 UG 0 0 0 ippp0

Rechner LEFT: ------------- ifconfig ppp0: ppp0 Protokoll:Punkt-zu-Punkt Verbindung inet Adresse:62.155.129.53 P-z-P:193.158.131.185 Maske:255.255.255.255 UP PUNKTZUPUNKT RUNNING NOARP DYNAMIC MTU:1500 Metric:1 RX packets:13861 errors:0 dropped:0 overruns:0 frame:0 TX packets:13249 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:30 RX bytes:1780933 (1.6 Mb) TX bytes:1437164 (1.3 Mb)

route -N: Kernel IP Routentabelle Ziel Router Genmask Flags Metric Ref Use Iface 62.155.129.53 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 192.168.100.0 192.168.99.1 255.255.255.0 UG 0 0 0 eth0 192.168.98.0 0.0.0.0 255.255.255.0 U 0 0 0 eth3 192.168.99.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 123.123.123.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 142.120.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth2 0.0.0.0 62.155.129.53 0.0.0.0 UG 0 0 0 ppp0

Noch was zur Vorgehensweise: ipsec starte ich manuell auf beiden Seiten, wenn die Internetverbindung bereits steht. Die Adressen der beiden Rechner sind auch DynDNS.ORG öffentlich bekannt. Den Firewall habe ich vorsorgehalber deaktiviert, wobei an dem oben beschriebenen Verhalten es keinen Unterschied macht, ob der Firewall gestartet ist oder nicht.

Ich habe also erst einmal überhaupt keine Ahnung, wonach ich suchen sollte.

Kann mir vielleicht irgendjemand bei dem Problem helfen?

Danke vorab.

Gruss Manfred

-- "Never surf faster, than your guardian penguin can fly!"