| Thema |
Verfasser |
Letzte Antwort |
| DHCP over IPSEC |
efkay ( ---.dip0.t-ipconnect.de) |
19 Aug 2010 02:58 |
Hallo Herr Spenneberg,
nach langem einarbeiten mit Freeswan und X.509 Zertifikate habe ich es endlich geschafft mit dem ebootis VPN-Klient eine Verbindung in unser internes Netzwerk herzustellen.
Nun habe ich diesbezüglich noch kleine Probleme mit einem Rechner in unserem internen Netzwerk. Ein Ping auf die AS/400 funktioniert nicht. Hierfür habe ich mich auch schlau gemacht Stichwort: DHCP-Relay.
Ich habe mir die Konfigurations Beispiele auf www.strongsec.com/freeswan/dhcprelay/ipsec-dhcp-howto.txt in dem Abschnitt "DHCP und DHPC-Relay on the same host" angeschaut.
Leider mach er das nicht wie ich es will:
Hier unsere Netzwerk-/Routerangaben:
eth1=>>ippp0 (dynamische IP > Provider T-DSL) Eintrag bei Dyndns.org
eth0=internes Device (192.168.50.105)
Meine IPSEC-Konfiguration:
# basic configuration
config setup
interfaces=%defaultroute
#interfaces="ipsec0=eth0"
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes
conn %default
keyingtries=0
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
left=%defaultroute
leftsubnet=192.168.50.0/24
leftid="C=DE, ST=BW, L=Ludwigsburg, O=ameise, OU=IT, CN=ameGW, E=f.kummler@ameise.de"
conn dhcp
rekey=no
keylife=30s
rekeymargin=15s
rightsubnet=0.0.0.0/24
leftprotoport=udp/bootps
rightprotoport=udp/bootpc
conn Roadwarrior
right=%any
type=tunnel
keyexchange=ike
pfs=yes
auto=add
Meine DHCP-Konfiguration:
# common server options
ddns-update-style none;
# vpn client class
class "vpn-clients" {
match if option agent.circuit-id = "ipsec0";
}
# ameise net
#subnet 192.168.50.0 netmask 255.255.255.0 {
subnet 0.0.0.0 netmask 0.0.0.0 {
option domain-name "ameise.de";
option domain-name-servers 192.168.50.101;
option routers 192.168.50.105;
option netbios-name-servers 192.168.50.101;
# lan clients
pool {
deny members of "vpn-clients";
range 192.168.50.1 192.168.50.219;
default-lease-time 7200;
max-lease-time 14400;
option subnet-mask 255.255.255.0;
}
# vpn clients
pool {
allow members of "vpn-clients";
range 192.168.50.227 192.168.50.230;
default-lease-time 3600;
max-lease-time 7200;
option subnet-mask 255.255.255.0;
}
}
Meine DHCP-Relay Konfiguration:
# DHCP-Relay configuration file
# $Id: dhcprelay.conf,v 1.1.1.1 2002/08/20 08:42:03 sri Exp $
# Logfile
LOGFILE="/var/log/dhcprelay.log"
# IPSec devices (comma separated list including NO spaces)
DEVICES="ipsec0"
# Device over which the DHCP-Server can be reached
SERVERDEVICE="lo"
# Hostname or IP Address of the DHCP-Server
DHCPSERVER="192.168.50.105"
In dem Beispiel steht das ich den DHCP-Server mit:
dhcpd lo eth1
Warum?
und nicht mir rcdhcpd start
Ich hoffe Sie können mir da vielleicht weiterhelfen.
im vorraus Viele Dank
Mit freundlichen Grüßen
F.Kummler |
| ||
| RE: DHCP over IPSEC | Ralf ( ---.153.225.3) | 18 Sep 2003 06:23 |
On 17 Sep 2003 11:05 'efkay' wrote:
Hallo Herr Kummler,
> nach langem einarbeiten mit Freeswan und X.509 Zertifikate habe ich es endlich geschafft mit dem ebootis VPN-Klient eine Verbindung in unser internes Netzwerk herzustellen.
>
> Nun habe ich diesbezüglich noch kleine Probleme mit einem Rechner in unserem internen Netzwerk. Ein Ping auf die AS/400 funktioniert nicht. Hierfür habe ich mich auch schlau gemacht Stichwort: DHCP-Relay.
Ich kann im Moment nicht ganz nachvollziehen, warum für einen Ping auf das interne Netzwerk ein DHCP-Relay erforderlich ist. Das Echo-Request Paket des Clients sollte auf jeden Fall an der AS400 ankommen, wenn es nicht durch eine Firewall blockiert wird. Wenn Die AS400 eine (richtige) Default-Route eingetragen hat, sollte sie auch in der Lage sein, zu antworten.
Bevor ich nun aber zur genauen Konfiguration mich äussere, sollten Sie wissen, dass der ebootis VPN-Client nicht die Verwendung von DHCP-over-IPsec unterstützt. Dies ist aber nicht der Fehler des ebootis VPN-Clients sondern durch die mangelnde Unterstützung des Windows-Clients zu erklären.
> In dem Beispiel steht das ich den DHCP-Server mit:
> dhcpd lo eth1
> Warum?
> und nicht mir rcdhcpd start
>
Das Howto beschreibt die allgemeine Installation des DHCP-Relay. Die Anleitung enthält daher keine SuSE-spezifischen Befehle wie rcdhcpd.
Da das DHCP-Relay über das Loopback Interface mit dem DHCP-Server kommuniziert, muss dieser auch auf diesem Interface Anfragen entgegen nehmen. Da der DHCP-Server meist auch noch im Netzwerk gebraucht wird, müssen zwei Interfaces, Loopback (lo) und das interne Interface (eth1) angegeben werden.
Diese Angabe erfolgt unter SuSE in der Datei /etc/sysconfig/dhcpd:
DHCPD_INTERFACE="lo eth1"
Mit freundlichen Grüßen,
Ralf Spenneberg |
| RE: DHCP over IPSEC | efkay ( ---.dip0.t-ipconnect.de) | 22 Sep 2003 09:15 |
Also das Problem liegt einfach an der AS/400. Ich kann bei dir AS/400 die Defaultroute eintragen, leider aus Erfahrung heraus sollte man das nicht machen --> habe ich im AS/400 Forum herausbekommen. OK eigentlich hat es sich die Frage schon geklärt, dass der ebootis Klient es nicht kann dhcp over ipsec. Meine Frage: ich habe früher den PGP Client 7.x benutzt leider nach langem feststellen kann dieser in der Freeware Version kein Client to Gateway in dem Abscnitt VPN-Klient. Wie bekomme ich die normale Version des PGP, dass ich auch Client to Gateway herstellen kann.
Vielen Dank nochmal
Mit freundlichen Grüßen
F. Kummler |
| RE: RE: DHCP over IPSEC | Ralf ( ---.19.204.212.sr1.DTM1.ip.versanet.de) | 24 Sep 2003 18:32 |
Meines Wissens gibt es den PGP-VPN-Client nicht mehr. Er ist den vielen Querelen um PGP zum Opfer gefallen. (Falls ich hier falsch liege, würde ich mich über eine Info freuen.)
Der einzige Client, der meines Wissens DHCP-over-IPsec unterstützt ist SSH-Sentinel.
Gruß,
Ralf |
| RE: RE: RE: DHCP over IPSEC | Ralph ( ---.5.230.34) | 25 Sep 2003 11:08 |
On 24 Sep 2003 20:32 'Default Admin' wrote:
> Meines Wissens gibt es den PGP-VPN-Client nicht mehr. Er > ist den vielen Querelen um PGP zum Opfer gefallen. (Falls > ich hier falsch liege, würde ich mich über eine Info
> freuen.)
Ja genau das ist richtig. Und die alte Version (6.58) die man als VPN-Client verwenden konnte läuft nicht unter XP.
Bei der 7er Version gibt es auch einige Probleme unter XP. Auch nach der deinstallation funktionierte keine Netzwerkverbindung mehr.
Gruß
ralph.
|
| RE: DHCP over IPSEC | Ralph ( ---.5.230.34) | 25 Sep 2003 11:38 |
On 25 Sep 2003 13:08 'efkay' wrote:
> nach langem einarbeiten mit Freeswan und X.509
> Zertifikate habe ich es endlich geschafft mit dem ebootis
> VPN-Klient eine Verbindung in unser internes Netzwerk
Könntest du vielleicht ein bischen mehr zur Client-Konfiguration schreiben? Ich habe schon viel versucht. Leider konnte ich die native IPsec-Unterstützung von WinXP noch nicht zum laufen bekommen.
Ich bin mir ziemlich sicher das es am Client liegt da ich das/die Gateways (Debian/Freeswan) schon länger erfolgreich einsetze.
Auch die Authentifizierung über PSK's geht zwischen XP und Freeswan. Beim Versuch x509 Zertifikate zu verwenden gibt es im Oakley.log die Fehlermeldung:
"IKE konnte kein gültiges Computerzertifikat finden."
(alle logs und konfig auch unter www.dynaperl.de/ipsec)
Allerdings denke ich das ich das p12-File richtig (nach www.natecarlson.com/linux/ipsec-x509.php) importiert und auch in der Window-Konfiguration nicht das Client sondern das CA-Zertifikat angegeben habe.
Die Zertifikate habe ich wie in ct5/2002 und ct10/2003 beschrieben erstellt und setzte sie wie gesagt auch schon zwischen Linux-Gateways ein.
Was ich noch nicht versucht habe und wo möglicherweise der Hunde begraben sein könnte sind folgende Punkte:
- Bisher habe ich es nur mit WinXP-Prof ohne(!) SP1 versucht
Ist SP1 notwendig?
- Das Client-Cert hat eine Gültigkeit von 1 Jahr
das CA-Cert hat eine Gültigkeit von 3 Jahren
Ist das möglicherweise zu lang für Windows?
Googel findet hunderte Seiten zu dem Thema (Suchbegriff=Fehlermeldung aus Oakley.log) allerdings sind das alles Leute die das gleiche Problem haben. Bisher konnte ich noch niemanden finden der dazu auch eine Lösung parat hatte.
Mich würde jetzt brennend interessieren:
- Weche Windows Version?
- ServicePack?
- Kannst du mir (wenn du ein Testcert hast das du rausgeben kannst) mal ein Cert für Client und Gateway schicken? Manchmal ist man ja auch nach einer Weile betriebsblind und sieht den Wald vor Bäumen nicht.
Gruß
ralph.
|
| RE: RE: DHCP over IPSEC | Ralf ( ---.23.204.212.sr2.DTM1.ip.versanet.de) | 26 Sep 2003 10:20 |
On 25 Sep 2003 13:38 'Ralph' wrote:
>
> Auch die Authentifizierung über PSK's geht zwischen XP und Freeswan. Beim Versuch x509 Zertifikate zu verwenden gibt es im Oakley.log die Fehlermeldung:
>
> "IKE konnte kein gültiges Computerzertifikat finden."
> (alle logs und konfig auch unter www.dynaperl.de/ipsec)
>
Was sagt den XP, wenn ein Doppelklick auf das Zertifikat im Speicher durchgeführt wird?
Ist das Zertifikat gültig und wird auch die CA gefunden?
> - Das Client-Cert hat eine Gültigkeit von 1 Jahr
> das CA-Cert hat eine Gültigkeit von 3 Jahren
> Ist das möglicherweise zu lang für Windows?
Die CA muss von der Gültigkeit alle Client-Certs klammern.
3 Jahre ist nicht zu lang.
Gruß,
Ralf |
| RE: RE: DHCP over IPSEC | Ralf ( ---.23.204.212.sr2.DTM1.ip.versanet.de) | 26 Sep 2003 10:22 |
On 25 Sep 2003 13:38 'Ralph' wrote:
>
> Auch die Authentifizierung über PSK's geht zwischen XP und Freeswan. Beim Versuch x509 Zertifikate zu verwenden gibt es im Oakley.log die Fehlermeldung:
>
> "IKE konnte kein gültiges Computerzertifikat finden."
> (alle logs und konfig auch unter www.dynaperl.de/ipsec)
>
Was sagt den XP, wenn ein Doppelklick auf das Zertifikat im Speicher durchgeführt wird?
Ist das Zertifikat gültig und wird auch die CA gefunden?
> - Das Client-Cert hat eine Gültigkeit von 1 Jahr
> das CA-Cert hat eine Gültigkeit von 3 Jahren
> Ist das möglicherweise zu lang für Windows?
Die CA muss von der Gültigkeit alle Client-Certs klammern.
3 Jahre ist nicht zu lang.
Gruß,
Ralf |
| RE: RE: DHCP over IPSEC | Ralf ( ---.23.204.212.sr2.DTM1.ip.versanet.de) | 26 Sep 2003 10:24 |
On 25 Sep 2003 13:38 'Ralph' wrote:
>
> Ich bin mir ziemlich sicher das es am Client liegt da ich das/die Gateways (Debian/Freeswan) schon länger erfolgreich einsetze.
>
Bist Du sicher. Ich finde in Deiner FreeS/WAN Konfiguration keinen Hinweis auf das Zertifikat der FreeS/WAN-Box.
Hier brauchst Du wahrscheinlich den Eintrag:
leftcert=rootgate_cert.pem
Da FreeS/WAN kein Zertifikat überträgt, findet Windows keins.
Gruß,
Ralf |
| RE: RE: RE: DHCP over IPSEC | Ralph ( ---.5.230.34) | 26 Sep 2003 18:12 |
On 26 Sep 2003 12:24 'Default Admin' wrote:
> Bist Du sicher. Ich finde in Deiner FreeS/WAN
> Konfiguration keinen Hinweis auf das Zertifikat der
> FreeS/WAN-Box.
Jetzt war ich eben aber wirklich einen kurzen moment aufgeregt und dachte das wäre es gewesen. Aber leider war's dann (noch) nicht.
Ich habe meiner freeswan-konfig ein "leftcert=private/gateKey.pem" hinzugefügt. Nach einem Reload findet sich im Log auch ein "loaded host cert file '/etc/ipsec.d/private/gateKey.pem' (963 bytes)".
Nach dem es aber nicht den gewünschen Erfolg brachte ist mir auch eingefallen das ja das Host-Cert über das file "/etc/x509cert.der" geladen wird (Logfile Eintrag: loaded my default X.509 cert file '/etc/x509cert.der' (876 bytes)".
Ein klick auf das Cert unter XP ergibt ein "Dieses Zertifikat ist gültig." und "Sie besitzen einen Privaten Schlüssel für dieses Zertifikat".
Ich denke auch eigentlich nicht das mit "IKE konnte kein gültiges Computerzertifikat finden." das eigenen Cert gemeint ist sondern das für den Remote-Host (oder?).
Wenn ich mir in der mmc unter IP-Sicherheitsrichtlinien auf lokalem Computer" die Regeln angucke die das ipsec-tool von Markus Müller erstellt hat ist da auch das richtige Cert ausgewählt (das von der CA). Es könnte natürlich sein das er jetzt nicht das passende Host-Cert findet das von der CA signiert wurde (es befindet sich allerdings unter Eigene-Zertifikate). (Haare-rauf)
Ich glaube ich kann den LoveSAN-Programmierer verstehen:-)
Gruß
Ralph.
|
| RE: RE: RE: RE: DHCP over IPSEC | Ralf ( ---.20.204.212.sr2.DTM1.ip.versanet.de) | 27 Sep 2003 17:45 |
On 26 Sep 2003 20:12 'Ralph' wrote:
>
> Ich habe meiner freeswan-konfig ein "leftcert=private/gateKey.pem" hinzugefügt. Nach einem Reload findet sich im Log auch ein "loaded host cert file '/etc/ipsec.d/private/gateKey.pem' (963 bytes)".
>
Bist Du sicher, dass dein Zertifikat in der Datei gateKey.pem ist? Der Dateiname hört sich eher nach dem privaten Schlüssel an.
> Nach dem es aber nicht den gewünschen Erfolg brachte ist mir auch eingefallen das ja das Host-Cert über das file "/etc/x509cert.der" geladen wird (Logfile Eintrag: loaded my default X.509 cert file '/etc/x509cert.der' (876 bytes)".
Ah. Du verwendest noch eine alte Version. Ab Version 0.9.28 und 1.1.0 des X.509-Patches werden diese Dateien nicht mehr geladen!
>
> Ein klick auf das Cert unter XP ergibt ein "Dieses Zertifikat ist gültig." und "Sie besitzen einen Privaten Schlüssel für dieses Zertifikat".
>
Hört sich eigentlich ansonsten gut an.
Gruß,
Ralf |
| RE: RE: RE: RE: RE: DHCP over IPSEC | Ralph ( ---.5.230.34) | 29 Sep 2003 16:50 |
> Bist Du sicher, dass dein Zertifikat in der Datei
> gateKey.pem ist? Der Dateiname hört sich eher nach dem
> privaten Schlüssel an.
Ja da hast du wohl recht. Hab's aber eben auch noch mal mit dem gateCert.pem versucht und es ändert sich nichts.
> Ah. Du verwendest noch eine alte Version. Ab Version
> 0.9.28 und 1.1.0 des X.509-Patches werden diese Dateien
> nicht mehr geladen!
Ja. Das macht das o.g. dann auch redundant oder?
Ich habe es jetzt noch mal mit einer w2k installation ausprobiert (w2k pro mit SP4). Geht auch nicht. Allerdings sind die Ausgaben im Oakley log etwas anders (ganzes Log unter www.dynaperl.de/ipsec/oakley_w2k.log). Speziel ist mir folgende Zeile aufgefallen:
Using enumeration could not match the CA name "C=DE,S=Hamburg,O=firma GmbH,CN=ca@firma.de".
Letztendlich ist mir jetzt aber immernoch nicht klar ob er das Cert vom Linux-Gate nicht erkennt oder ob er das WinCert nicht findet.
Allerdings wundert es mich das es auch auf der W2k Maschine nicht läuft. Das würde eher dafür sprechen das es am Linux Host oder an der Art liegt wie ich die Cert's erzeuge.
Ich würde mich sehr freuen wenn mir jemand seine (test-) Certs zu Verfügung stellen könnte. Dann könnte ich die schon mal ausschließen bzw. ich könnte die ganze Sache stark eingrenzen.
Gruß
ralph.
|
| RE: RE: RE: RE: RE: RE: DHCP over IPSEC | Ralf ( ---.lufthoheit.net) | 29 Sep 2003 19:02 |
On 29 Sep 2003 18:50 'Ralph' wrote:
> Ja. Das macht das o.g. dann auch redundant oder?
Korrekt.
>
> Ich habe es jetzt noch mal mit einer w2k installation ausprobiert (w2k pro mit SP4). Geht auch nicht. Allerdings sind die Ausgaben im Oakley log etwas anders (ganzes Log unter www.dynaperl.de/ipsec/oakley_w2k.log). Speziel ist mir folgende Zeile aufgefallen:
>
> Using enumeration could not match the CA name "C=DE,S=Hamburg,O=firma GmbH,CN=ca@firma.de".
Das hört sich ganz danach an, als ob das Subjekt nicht ganz passt.
was sagt
openssl -in cacert.pem -noout -subject
> Letztendlich ist mir jetzt aber immernoch nicht klar ob er das Cert vom Linux-Gate nicht erkennt oder ob er das WinCert nicht findet.
Momentan macht es den Eindruck, als ob er sein eigenes Zertifikat nicht findet.
>
> Allerdings wundert es mich das es auch auf der W2k Maschine nicht läuft. Das würde eher dafür sprechen das es am Linux Host oder an der Art liegt wie ich die Cert's erzeuge.
Richtig.
Gruß,
Ralf |
| RE: RE: RE: RE: RE: RE: RE: DHCP over IPSEC | Ralph ( ---.5.230.34) | 1 Oct 2003 14:18 |
On 29 Sep 2003 21:02 'Default Admin' wrote:
> Das hört sich ganz danach an, als ob das Subjekt nicht
> ganz passt. was sagt
> openssl -in cacert.pem -noout -subject
Also jetzt habe ich das Problem wohl zur Hälfte gelöst. Ich hatte mit W2k und dem fehlenden SP für XP schon den richtigen Riecher. Der Grund wie so es nicht gleich unter w2k funktionieren wollte war das ich die Freizeichen im subject weggelassen hatte.
Allerdings gibt o.g. openssl Aufruf ST=Hamburg aus und Windows braucht S=Hamburg. Den Unterschied hatte ich aber schon vorher bemerkt.
Unter w2k mit SP4 reicht (nach dem Aufruf von dem ipsec-tool) ein "ping -n 1 <gate>". Nach ca 2-3 Sekunden steht die Verbindung.
Unter XP geht genau das gleiche nicht. Ich werde mir wohl jetzt erstmal den SP1 besorgen und hoffe das es dann auch geht. Schade nur das bisher niemand darauf hingewiesen hat. Das hätte mir Stunden testerei erspart.
Gruß
ralph.
PS: beschreibst du in dem Buch (VPN mit Linux) eigentlich auch die Client (Road Warrior) Seite unter Windows? Ich denke ich den meisten Firmen ist es die Regel das als Client Windows eingesetzt wird. |
| RE: RE: RE: RE: RE: RE: RE: RE: DHCP over IPSEC | Ralph ( ---.5.230.34) | 1 Oct 2003 18:42 |
On 1 Oct 2003 16:18 'Ralph' wrote:
> Ich werde mir wohl jetzt erstmal den SP1 besorgen und
> hoffe das es dann auch geht.
So nachdem ich mir nun SP1a für XP besorgt habe bin ich ernüchtert und keinen Schritt weiter (wen's interessiert ich habe die Konfig's und Logfiles nochmal unter www.dynaperl.de/ipsec zusammengefasst).
Der Teil auf den es wohl ankommt ist meiner Meinung nach:
10-01: 16:08:38:292:2b0 Received no valid CRPs. Using all configured
10-01: 16:08:38:292:2b0 Looking for IPSec only cert
10-01: 16:08:38:370:2b0 failed to get chain 80092004
10-01: 16:08:38:370:2b0 Received no valid CRPs. Using all configured
10-01: 16:08:38:370:2b0 Looking for any cert
10-01: 16:08:38:370:2b0 failed to get chain 80092004
10-01: 16:08:38:370:2b0 ProcessFailure: sa:000DCC88 centry:00000000 status:35ee
Unter w2k bekomme ich hier stattdessen:
10-01: 19:42:50:fc Received no valid CRPs. Using all configured
10-01: 19:42:50:fc Looking for IPSec only cert
10-01: 19:42:50:fc Cert Trustes. 0 0
10-01: 19:42:50:fc Key Contained Name
10-01: 19:42:50:fc {349AB126-16CC-45AC-B4F2-A9E449D82AEF}
10-01: 19:42:50:fc Found try 1
10-01: 19:42:50:fc Keylen in cert 1024
Ich habe auch noch eine belische Seite gefunden (http://users.telenet.be/jurgen.kobierczynski/ipsecsurvey.html) auf der es weiter unten heißt (übersetzt):
<zitat>
Das Problem sitzt dadrin, dass Windows nicht auf dieselbe Weise Keys unterstuetzt. Also wird es bei einem Windows 2000 Laptop vorlaeufig noetig sein, einen pregesharten Key zuverwenden. Dieser kann am besten lang benuetzt (genommen) und regelmaessig angepasst werden.
</zitat>
Was aber nicht ganz stimmen kann da es ja mit w2k geht! Allerdings veranlasst mich das zu vermuten das es mit xp wirklich nicht geht (nee so leicht gebe ich mich nicht geschlagen:-).
Gruß
ralph.
|
| RE: RE: RE: RE: RE: RE: RE: RE: RE: DHCP over IPSEC | Ralf ( ---.21.204.212.sr2.DTM1.ip.versanet.de) | 6 Oct 2003 09:51 |
On 1 Oct 2003 20:42 'Ralph' wrote:
> So nachdem ich mir nun SP1a für XP besorgt habe bin ich ernüchtert und keinen Schritt weiter (wen's interessiert ich habe die Konfig's und Logfiles nochmal unter www.dynaperl.de/ipsec zusammengefasst).
Das hätte mich auch sehr gewundert, da es bei mir auch ohne SP1 funktioniert. Welche XP Version setzt Du denn ein?
Ich verwende XP-Pro.
Nach dem Betrachten der ganzen Protokolldateien ist mir folgendes ungewöhnliches aufgefallen. Ich kann es im Moment leider nicht nachvollziehen, da ich kein XP da habe.
In den XP/FreeSWAN Konfigurationsdateien definierst Du die beiden IP-Adressen 192.168.0.190 (FS) und 192.168.0.36(XP)
Sowohl das FreeS/WAN-Log als auch das Oakley-Log sehen den XP Rechner aber auf 192.168.0.12!
Gruß,
Ralf |
| RE: RE: RE: RE: RE: RE: RE: RE: RE: RE: DHCP over IPSEC | Ralph ( ---.5.230.34) | 7 Oct 2003 16:38 |
On 6 Oct 2003 11:51 'Default Admin' wrote:
> Das hätte mich auch sehr gewundert, da es bei mir auch
> ohne SP1 funktioniert. Welche XP Version setzt Du denn
> ein? Ich verwende XP-Pro.
Hmm ja ich auch.
> die beiden IP-Adressen 192.168.0.190 (FS) und
> 192.168.0.36 Sowohl das FreeS/WAN-Log als auch das Oakley-
> Log sehen den XP Rechner aber auf 192.168.0.12!
Nee das ist schon ok so. Sonst würde es ja auch zu garkeiner Verbindung kommen. Ich hatte ja verschiedene Tests gemacht und dabei war die 190 immer das fs-gate und die 12 war xp-ohne-SP1 und die 36 war xp-mit-sp.
Ich habe mich jetzt erstmal an den Author der beiden Heise-Artikel gewendet. Vielleicht weiß der ja rat. Die kommen ja immer viel rum.
Ich glaube das Problem bei solchen sachen ist das man schnell Betriebsblind wird. Da schleichen sich dann kleine Fehlerchen ein die man immer wieder gleich falsch macht.
Gruß
ralph.
|
| RE: RE: RE: RE: RE: RE: RE: RE: RE: RE: RE: DHCP over IPSEC | Ralf ( ---.29.204.212.sr1.DTM1.ip.versanet.de) | 7 Oct 2003 18:51 |
On 7 Oct 2003 18:38 'Ralph' wrote:
>
> > die beiden IP-Adressen 192.168.0.190 (FS) und
> > 192.168.0.36 Sowohl das FreeS/WAN-Log als auch das Oakley-
> > Log sehen den XP Rechner aber auf 192.168.0.12!
>
> Nee das ist schon ok so. Sonst würde es ja auch zu garkeiner Verbindung kommen. Ich hatte ja verschiedene Tests gemacht und dabei war die 190 immer das fs-gate und die 12 war xp-ohne-SP1 und die 36 war xp-mit-sp.
Nein. Das ist nicht ok. Deine Konfigurationsdateien erlauben nur die Verbindung von .36!
Gruß,
Ralf |
| DHCP over IPSEC block | elumalai ( ---.45.101.203.touchtelindia.net) | 5 Aug 2005 15:11 |
On 7 Oct 2003 20:51 'efkay' wrote:
> Hallo Herr Spenneberg,
>
> nach langem einarbeiten mit Freeswan und X.509 Zertifikate habe ich es endlich geschafft mit dem ebootis VPN-Klient eine Verbindung in unser internes Netzwerk herzustellen.
>
> Nun habe ich diesbezüglich noch kleine Probleme mit einem Rechner in unserem internen Netzwerk. Ein Ping auf die AS/400 funktioniert nicht. Hierfür habe ich mich auch schlau gemacht Stichwort: DHCP-Relay.
> Ich habe mir die Konfigurations Beispiele auf www.strongsec.com/freeswan/dhcprelay/ipsec-dhcp-howto.txt in dem Abschnitt "DHCP und DHPC-Relay on the same host" angeschaut.
> Leider mach er das nicht wie ich es will:
> Hier unsere Netzwerk-/Routerangaben:
>
> eth1=>>ippp0 (dynamische IP > Provider T-DSL) Eintrag bei Dyndns.org
> eth0=internes Device (192.168.50.105)
>
> Meine IPSEC-Konfiguration:
>
> # basic configuration
> config setup
> interfaces=%defaultroute
> #interfaces="ipsec0=eth0"
> klipsdebug=none
> plutodebug=none
> plutoload=%search
> plutostart=%search
> uniqueids=yes
>
>
> conn %default
> keyingtries=0
>
> authby=rsasig
> leftrsasigkey=%cert
> rightrsasigkey=%cert
>
> left=%defaultroute
> leftsubnet=192.168.50.0/24
> leftid="C=DE, ST=BW, L=Ludwigsburg, O=ameise, OU=IT, CN=ameGW, E=f.kummler@ameise.de"
>
> conn dhcp
> rekey=no
> keylife=30s
> rekeymargin=15s
> rightsubnet=0.0.0.0/24
> leftprotoport=udp/bootps
> rightprotoport=udp/bootpc
>
> conn Roadwarrior
> right=%any
> type=tunnel
> keyexchange=ike
> pfs=yes
> auto=add
>
> Meine DHCP-Konfiguration:
>
> # common server options
> ddns-update-style none;
>
> # vpn client class
> class "vpn-clients" {
> match if option agent.circuit-id = "ipsec0";
> }
>
> # ameise net
> #subnet 192.168.50.0 netmask 255.255.255.0 {
> subnet 0.0.0.0 netmask 0.0.0.0 {
> option domain-name "ameise.de";
> option domain-name-servers 192.168.50.101;
> option routers 192.168.50.105;
> option netbios-name-servers 192.168.50.101;
>
> # lan clients
> pool {
> deny members of "vpn-clients";
> range 192.168.50.1 192.168.50.219;
> default-lease-time 7200;
> max-lease-time 14400;
> option subnet-mask 255.255.255.0;
> }
>
> # vpn clients
> pool {
> allow members of "vpn-clients";
> range 192.168.50.227 192.168.50.230;
> default-lease-time 3600;
> max-lease-time 7200;
> option subnet-mask 255.255.255.0;
> }
>
> }
>
> Meine DHCP-Relay Konfiguration:
>
> # DHCP-Relay configuration file
> # $Id: dhcprelay.conf,v 1.1.1.1 2002/08/20 08:42:03 sri Exp $
>
> # Logfile
> LOGFILE="/var/log/dhcprelay.log"
>
> # IPSec devices (comma separated list including NO spaces)
> DEVICES="ipsec0"
>
> # Device over which the DHCP-Server can be reached
> SERVERDEVICE="lo"
>
> # Hostname or IP Address of the DHCP-Server
> DHCPSERVER="192.168.50.105"
>
> In dem Beispiel steht das ich den DHCP-Server mit:
> dhcpd lo eth1
> Warum?
> und nicht mir rcdhcpd start
>
> Ich hoffe Sie können mir da vielleicht weiterhelfen.
> im vorraus Viele Dank
>
> Mit freundlichen Grüßen
> F.Kummler |
| Hi Im fresh to this Site | Hinas96 ( ---.8.02334d89a0.017318bca5d.gis.bredband2.com) | 19 Aug 2010 02:58 |
Hi I feel like doing this topic so hi
|
17 Oct 2008: