-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo Liste, mein Einstand auf dieser Liste, als relativ neuer Linux-user, wird gleich von einem Problem begleitet. Ich werde mein Problem so ausführlich wie möglich schildern, da ich davon ausgehe dass niemand der mit helfen möchte daran interessiert ist X-tausend mal nachzufragen, bis das Problem endgültig vorliegt. Ich möchte von meinem Desktop-PC (i686) aus zu meiner Uni (Passau) eine VPN-Verbindung aufbauen, da ich nur auf diesem Weg bestimmte webseiten aufrufen kann. Bis vor 1 Monat hatte ich SUSE 9.3 auf meinem Rechner und habe mich mittels des Cisco VPN-Client (4.6.02) mit der Uni verbunden. Dazu waren keinerlei Einstellungen an der Firewall vorzunehmen, welche ich so konfiguriert habe, dass ausschließlich IPsec und SSH als eingehende Verbindungen akzeptiert werden. Ich verwende kein Masquerading, da ich das noch nicht ganz durchschaut habe, und baue meine DSL-Verbindung ohne router, jedoch durch einen HUB welcher mein mini-lan mit dem DSL-Modem verbindet auf. Ich denke aber nicht dass _hier_ das problem liegt. wenn ich versuche, mit dem befehl $vpnclient connect <profil> nocertpwd eine Verbindung aufzubauen, so erhalte ich folgende ausgabe (ich verwende die option nocertpwd da ich weiss dass kein zertifikatspasswort gesetzt wurde): Cisco Systems VPN Client Version 4.6.02 (0030) Copyright (C) 1998-2004 Cisco Systems, Inc. All Rights Reserved. Client Type(s): Linux Running on: Linux 2.6.13-15.7-smp #1 SMP Tue Nov 29 14:32:29 UTC 2005 i686 Config file directory: /etc/opt/cisco-vpnclient Privilege Separation: unable to drop privileges. The application was unable to communicate with the VPN sub-system. wenn ich (was ich ja eigentlich auch nicht will, da es riskant ist) versuche mich als root mit dem vpn zu verbinden, bekomme ich eine andere ausgabe, aber das selbe "ergebnis" (es geht nicht *gruml*): Cisco Systems VPN Client Version 4.6.02 (0030) Copyright (C) 1998-2004 Cisco Systems, Inc. All Rights Reserved. Client Type(s): Linux Running on: Linux 2.6.13-15.7-smp #1 SMP Tue Nov 29 14:32:29 UTC 2005 i686 Config file directory: /etc/opt/cisco-vpnclient Initializing the VPN connection. Secure VPN Connection terminated locally by the Client Reason: Failed to establish a VPN connection. There are no new notification messages at this time. nun gut, ich habe außerdem schon einen Versuch mit KVpnc (vpnc mit GUI) gestartet und etliche varianten versucht. KVpnc stürzt entweder ab (absturzvariante "programm reagiert nicht") oder sagt mir auch nur, dass keine verbindung zu Stande kommt. fuer KVpnc habe ich das Cisco VPN-Client Profil importiert, welches meine Uni ihrem client beilegt. es nennt sich, fuer verbindungen aus dem Internet sinnigerweise "Internet". es folgt eine erläuterung meiner Einstellungen unter KVpnc, sowie die ausgabe dessen Log: Einstellungen: unter "kvpnc Einrichten" Registerkarte "Verbindungsprofile" ist folgendes eingetragen: Registerkarte "Allgemein": Name des Profils: "Verbindung Zur Uni aus dem Internet" Verbindungstyp: Cisco (vpnc) IPSec-Gateway: vpn-ext.rz.uni-passau.de //dieser reagiert uebrigens auf einen Ping wunderbar Netzwerkgerät: dsl0 //meine externe schnittstelle zur welt... Registerkarte "Cisco / OpenVPN" IPSec.ID: <definitiv korrekter wert angegeben> /* ich weiss nicht wie vertraulich diese info ist aber ich behalte sie mal */ Registerkarte "Zertifikat / Preshared Key (PSK)": Pre shared key: <ebenfalls korrekt> /* das Gruppenpasswort ist definitiv richtig PSK speichern: x // ausgewählt Registerkarte "Benutzer": Benutzername: <mein login name> /* lower cases, wie gefordert mit punkt zu begin, format ist korrekt */ Passwort: <mein passwort> /*kleine frage an die Experten: ich verwende ein "sicheres" passwort, welches also upper & lower case sowie sonderzeichen (wie zB %&/()) enthaelt. kann es sein, dass dieses vom VPN-Client nicht korrekt verarbeitet wird? da ich mich (hässlicherweise) an meiner universität auf einem Microsoft-betriebssystem (mittels meiner novell-kennung) einlogge und bei diesem passwort sonderzeichen genehmigt sind, habe ich sie natuerlich eingebaut. kann es sein dass HIER der konflikt liegt und ich unnötigerweise "VPN studiere" ? */ Registerkarte "Netzwerkeinstellungen": NAT-T: UDP (x) //also angekreuzigt wenn ich die schaltfläche "werkzeuginformationen" auswaehle, erhalte ich die bestaetigung, dass alle notwendigen pakete installiert sind (also iptables, ipsex, vpnc openssl und so weiter und so fort). alles grün, alles da. nun gut, hier die Ausgabe der debugkonsole von KVpnc, wenn ich auf "verbinden" gehe: VpncScript: /root/.kde/share/apps/kvpnc/vpnc-script.Verbindung zur Uni aus dem Internet info: Benutzerdefinierter lokaler Port "10000" wird benutzt info: Benutzerdefinierte IKE-Gruppe "dh-1" wird benutzt info: UDP wird benutzt. info: Es wird versucht, zu Server "vpn-ext.rz.uni-passau.de" (132.231.254.252) mit Benutzer "<meine novell kennung>" und IPSec ID "<korrekte ipsec-id>" zu verbinden... info: "vpnc" ist gestartet. debug: /usr/sbin/vpnc: IKE DH Group "dh-1" unsupported info: Zeit abgelaufen! Verbindungsprozess wird getötet! info: Verbindung fehlgeschlagen (Zeit abgelaufen). info: Nicht verbunden. info: Zeit abgelaufen! Verbindungsprozess wird getötet! info: Verbindung fehlgeschlagen (Zeit abgelaufen). info: Nicht verbunden. was ich noch zu meinem Problem sagen kann ist, dass ich (laut anleitung auf den seiten von www.cisco.com ) alle noetigen ports und protokolle an meiner linux-firewall freigegeben habe. das sind im folgenden (es kann sein dass ich ueberfluessige eintraege habe, da ich "auf nummer sicher" gehen wollte), aus der "SuSEfirewall2" file in "/etc/sysconfig": FW_SERVICES_EXT_TCP="10000 4662 5801 5901 ssh" FW_SERVICES_EXT_UDP="10000 500 4672 ipsec-nat-t isakmp" FW_SERVICES_EXT_IP="esp" sonstiges: keine weiteren forwarings oder routing oder andere optionen, alles belassen wie ich es vorgefunden habe. ich denke, nach diesem langen Block an text ist es zeit fuer ein "foo". - -foo ich möchte mich im Voraus bei jedem, der diesen Beitrag liest bedanken, und hoffe ich bereite niemandem graue haare durch evtl fehlende Angaben oder zu ungenaue Formulierungen. vielleicht darf man diese Mail auch als kleines "Weihnachtsrätsel" betrachten. Vielen Dank, der ganzen Liste wünsche ich angenehme Feiertage und einen guten Rutsch, Max Seifert -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFDq+IULoGDJ+emUPIRAlnBAKDGcsoihR35CwMVmZoUZsTZUo1fOACeLpTc EcXz8Giyum8ROVDcLgDhTf8= =ynoZ -----END PGP SIGNATURE-----