Linux Schulungen: http://www.opensource-training.de  
 
Foren > VPN mit Linux > IPSEC über Racoon
Navigation
Schulungen
Foren
  Allgemeines Forum
  Intrusion Detection
  VPN mit Linux
  Firewalling mit Linux
  SELinux/AppArmor
SELinux/AppArmor Buch
IDS-Buch
VPN-Buch
Firewall-Buch
Nachrichten
Vorträge/Tutorials
Artikel
Linux-Magazin Artikel
Anmelden / Daten ändern
Messen
Impressum
Serverspiegel
Zertifizierungen
GPG Public Key

Flavours
English
German

Search

Visitors
Besucher 727642
Ansichten 370
Online 0

IPSEC über Racoon

Springe zu
Thema Verfasser Letzte Antwort
IPSEC über Racoon BA-student ( ---.61.227.166.host.de.colt.net) 14 Oct 2008 13:35
Hallo,

ich bin BA-Student und habe die Aufgabe erhalten, ein mit IPSEC gesichertes Netzwerk einzurichten.ich habe versucht micht diesem Problem Schrittweise zu nähern.Ich hab damit begonnen 2 Linux PC's mit dem OS SUSE Linux Enterprise Server 10 der Kernel Version 2.6.16.21-0.8 und der ipsec-tools Version 0.6.5-10.2. meine beiden IP-Nummern sind 192.168.1.100 und 192.168.2.100.

das ist meine racoon.conf

path include "/etc/racoon";
path certificate "/etc/racoon/certs";

remote 192.168.2.100
{ exchange_mode main;
my_identifier asn1dn;
certificate_type x509 "linux_cert.pem" "linux_key.pem";
verify_cert on;
proposal
{ encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method rsasig;
dh_group modp1024;
}
}
sainfo address 192.168.1.100 any address 192.168.2.100 any
{ pfs_group modp768;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}


das meine setkey.conf

#!/usr/sbin/setkey -f

flush;
spdflush;

spdadd 192.168.1.100 192.168.2.100 any -P out ipsec esp/transport//require ah/transport//require;
spdadd 192.168.2.100 192.168.1.100 any -P in ipsec esp/transport//require ah/transport//require;

und das ist das vollständige racoon Debug

2008-09-23 10:38:32: INFO: @(#)ipsec-tools 0.6.5 (http://ipsec-tools.sourceforge.net)
2008-09-23 10:38:32: INFO: @(#)This product linked OpenSSL 0.9.8a 11 Oct 2005 (http://www.openssl.org/)
2008-09-23 10:38:32: DEBUG: call pfkey_send_register for AH
2008-09-23 10:38:32: DEBUG: call pfkey_send_register for ESP
2008-09-23 10:38:32: DEBUG: call pfkey_send_register for IPCOMP
2008-09-23 10:38:32: DEBUG: reading config file /etc/racoon//racoon.conf
2008-09-23 10:38:32: DEBUG2: lifetime = 28800
2008-09-23 10:38:32: DEBUG2: lifebyte = 0
2008-09-23 10:38:32: DEBUG2: encklen=0
2008-09-23 10:38:32: DEBUG2: p:1 t:1
2008-09-23 10:38:32: DEBUG2: 3DES-CBC(5)
2008-09-23 10:38:32: DEBUG2: SHA(2)
2008-09-23 10:38:32: DEBUG2: 1024-bit MODP group(2)
2008-09-23 10:38:32: DEBUG2: RSA signatures(3)
2008-09-23 10:38:32: DEBUG2:
2008-09-23 10:38:32: DEBUG: compression algorithm can not be checked because sadb message doesn't support it.
2008-09-23 10:38:32: DEBUG2: parse successed.
2008-09-23 10:38:32: DEBUG: open /var/run/racoon/racoon.sock as racoon management.
2008-09-23 10:38:32: DEBUG: my interface: fe80::211:85ff:feed:bbe8%eth0 (eth0)
2008-09-23 10:38:32: DEBUG: my interface: ::1 (lo)
2008-09-23 10:38:32: DEBUG: my interface: 192.168.2.100 (eth0)
2008-09-23 10:38:32: DEBUG: my interface: 127.0.0.1 (lo)
2008-09-23 10:38:32: DEBUG: configuring default isakmp port.
2008-09-23 10:38:32: DEBUG: 4 addrs are configured successfully
2008-09-23 10:38:32: INFO: 127.0.0.1[500] used as isakmp port (fd=5)
2008-09-23 10:38:32: INFO: 127.0.0.1[500] used for NAT-T
2008-09-23 10:38:32: INFO: 192.168.2.100[500] used as isakmp port (fd=6)
2008-09-23 10:38:32: INFO: 192.168.2.100[500] used for NAT-T
2008-09-23 10:38:32: INFO: ::1[500] used as isakmp port (fd=7)
2008-09-23 10:38:32: INFO: fe80::211:85ff:feed:bbe8%eth0[500] used as isakmp port (fd=8)
2008-09-23 10:38:32: DEBUG: get pfkey X_SPDDUMP message
2008-09-23 10:38:32: DEBUG2:
02120000 1a000100 02000000 ad0f0000 03000500 ff200000 02000000 c0a80164
00000000 00000000 03000600 ff200000 02000000 c0a80264 00000000 00000000
04000300 00000000 00000000 00000000 00000000 00000000 00000000 00000000
04000400 00000000 00000000 00000000 00000000 00000000 00000000 00000000
04000200 00000000 00000000 00000000 a1a7d848 00000000 00000000 00000000
06001200 02000100 d0010000 00000080 10003200 01020000 00000000 00000000
10003300 01020000 00000000 00000000
2008-09-23 10:38:32: DEBUG: get pfkey X_SPDDUMP message
2008-09-23 10:38:32: DEBUG2:
02120000 1a000200 01000000 ad0f0000 03000500 ff200000 02000000 c0a80264
00000000 00000000 03000600 ff200000 02000000 c0a80164 00000000 00000000
04000300 00000000 00000000 00000000 00000000 00000000 00000000 00000000
04000400 00000000 00000000 00000000 00000000 00000000 00000000 00000000
04000200 00000000 00000000 00000000 a1a7d848 00000000 e0aad848 00000000
06001200 02000200 c9010000 00000080 10003200 01020000 00000000 00000000
10003300 01020000 00000000 00000000
2008-09-23 10:38:32: DEBUG: sub:0xbfbc46a0: 192.168.2.100/32[0] 192.168.1.100/32[0] proto=any dir=out
2008-09-23 10:38:32: DEBUG: db :0x80c40d8: 192.168.1.100/32[0] 192.168.2.100/32[0] proto=any dir=in
2008-09-23 10:38:32: DEBUG: get pfkey X_SPDDUMP message
2008-09-23 10:38:32: DEBUG2:
02120000 1a000100 00000000 ad0f0000 03000500 ff200000 02000000 c0a80164
00000000 00000000 03000600 ff200000 02000000 c0a80264 00000000 00000000
04000300 00000000 00000000 00000000 00000000 00000000 00000000 00000000
04000400 00000000 00000000 00000000 00000000 00000000 00000000 00000000
04000200 00000000 00000000 00000000 a1a7d848 00000000 00000000 00000000
06001200 02000300 da010000 00000080 10003200 01020000 00000000 00000000
10003300 01020000 00000000 00000000
2008-09-23 10:38:32: DEBUG: sub:0xbfbc46a0: 192.168.1.100/32[0] 192.168.2.100/32[0] proto=any dir=fwd
2008-09-23 10:38:32: DEBUG: db :0x80c40d8: 192.168.1.100/32[0] 192.168.2.100/32[0] proto=any dir=in
2008-09-23 10:38:32: DEBUG: sub:0xbfbc46a0: 192.168.1.100/32[0] 192.168.2.100/32[0] proto=any dir=fwd
2008-09-23 10:38:32: DEBUG: db :0x80c5990: 192.168.2.100/32[0] 192.168.1.100/32[0] proto=any dir=out
2008-09-23 10:38:42: DEBUG: get pfkey ACQUIRE message
2008-09-23 10:38:42: DEBUG2:
02060003 c8000000 09000000 00000000 03000500 00200000 02000000 c0a80264
00000000 00000000 03000600 00200000 02000000 c0a80164 00000000 00000000
02001200 02000200 c9010000 ba001800 be000d00 20000000 020b0000 80008000
00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000
40190100 00000000 80510100 00000000 70620000 00000000 80700000 00000000
030b0000 a000a000 00000000 00000000 00000000 00000000 00000000 00000000
00000000 00000000 40190100 00000000 80510100 00000000 70620000 00000000
80700000 00000000 050b0000 00010001 00000000 00000000 00000000 00000000
00000000 00000000 00000000 00000000 40190100 00000000 80510100 00000000
70620000 00000000 80700000 00000000 02020000 80008000 40004000 00000000
00000000 00000000 00000000 00000000 00000000 00000000 40190100 00000000
80510100 00000000 70620000 00000000 80700000 00000000 03020000 a000a000
40004000 00000000 00000000 00000000 00000000 00000000 00000000 00000000
40190100 00000000 80510100 00000000 70620000 00000000 80700000 00000000
05020000 00010001 40004000 00000000 00000000 00000000 00000000 00000000
00000000 00000000 40190100 00000000 80510100 00000000 70620000 00000000
80700000 00000000 02030000 80008000 c000c000 00000000 00000000 00000000
00000000 00000000 00000000 00000000 40190100 00000000 80510100 00000000
70620000 00000000 80700000 00000000 03030000 a000a000 c000c000 00000000
00000000 00000000 00000000 00000000 00000000 00000000 40190100 00000000
80510100 00000000 70620000 00000000 80700000 00000000 05030000 00010001
c000c000 00000000 00000000 00000000 00000000 00000000 00000000 00000000
40190100 00000000 80510100 00000000 70620000 00000000 80700000 00000000
02070000 80008000 2800c001 00000000 00000000 00000000 00000000 00000000
00000000 00000000 40190100 00000000 80510100 00000000 70620000 00000000
80700000 00000000 03070000 a000a000 2800c001 00000000 00000000 00000000
00000000 00000000 00000000 00000000 40190100 00000000 80510100 00000000
70620000 00000000 80700000 00000000 05070000 00010001 2800c001 00000000
00000000 00000000 00000000 00000000 00000000 00000000 40190100 00000000
80510100 00000000 70620000 00000000 80700000 00000000 020c0000 80008000
80000001 00000000 00000000 00000000 00000000 00000000 00000000 00000000
40190100 00000000 80510100 00000000 70620000 00000000 80700000 00000000
030c0000 a000a000 80000001 00000000 00000000 00000000 00000000 00000000
00000000 00000000 40190100 00000000 80510100 00000000 70620000 00000000
80700000 00000000 050c0000 00010001 80000001 00000000 00000000 00000000
00000000 00000000 00000000 00000000 40190100 00000000 80510100 00000000
70620000 00000000 80700000 00000000 02fc0000 80008000 80000001 00000000
00000000 00000000 00000000 00000000 00000000 00000000 40190100 00000000
80510100 00000000 70620000 00000000 80700000 00000000 03fc0000 a000a000
80000001 00000000 00000000 00000000 00000000 00000000 00000000 00000000
40190100 00000000 80510100 00000000 70620000 00000000 80700000 00000000
05fc0000 00010001 80000001 00000000 00000000 00000000 00000000 00000000
00000000 00000000 40190100 00000000 80510100 00000000 70620000 00000000
80700000 00000000 02fd0000 80008000 80000001 00000000 00000000 00000000
00000000 00000000 00000000 00000000 40190100 00000000 80510100 00000000
70620000 00000000 80700000 00000000 03fd0000 a000a000 80000001 00000000
00000000 00000000 00000000 00000000 00000000 00000000 40190100 00000000
80510100 00000000 70620000 00000000 80700000 00000000 05fd0000 00010001
80000001 00000000 00000000 00000000 00000000 00000000 00000000 00000000
40190100 00000000 80510100 00000000 70620000 00000000 80700000 00000000
2008-09-23 10:38:42: DEBUG: suitable outbound SP found: 192.168.2.100/32[0] 192.168.1.100/32[0] proto=any dir=out.
2008-09-23 10:38:42: DEBUG: sub:0xbfbc468c: 192.168.1.100/32[0] 192.168.2.100/32[0] proto=any dir=in
2008-09-23 10:38:42: DEBUG: db :0x80c40d8: 192.168.1.100/32[0] 192.168.2.100/32[0] proto=any dir=in
2008-09-23 10:38:42: DEBUG: suitable inbound SP found: 192.168.1.100/32[0] 192.168.2.100/32[0] proto=any dir=in.
2008-09-23 10:38:42: DEBUG: new acquire 192.168.2.100/32[0] 192.168.1.100/32[0] proto=any dir=out
2008-09-23 10:38:42: DEBUG: anonymous sainfo selected.
2008-09-23 10:38:42: DEBUG: (proto_id=AH spisize=4 spi=00000000 spi_p=00000000 encmode=Transport reqid=0:0)
2008-09-23 10:38:42: DEBUG: (trns_id=SHA authtype=hmac-sha)
2008-09-23 10:38:42: DEBUG: (proto_id=ESP spisize=4 spi=00000000 spi_p=00000000 encmode=Transport reqid=0:0)
2008-09-23 10:38:42: DEBUG: (trns_id=3DES encklen=0 authtype=hmac-sha)
2008-09-23 10:38:42: DEBUG: anonymous configuration selected for 192.168.1.100.
2008-09-23 10:38:42: INFO: IPsec-SA request for 192.168.1.100 queued due to no phase1 found.
2008-09-23 10:38:42: DEBUG: ===
2008-09-23 10:38:42: INFO: initiate new phase 1 negotiation: 192.168.2.100[500]<=>192.168.1.100[500]
2008-09-23 10:38:42: INFO: begin Identity Protection mode.
2008-09-23 10:38:42: DEBUG: new cookie:
3b3f7b2deb528d52
2008-09-23 10:38:42: DEBUG: add payload of len 48, next type 13
2008-09-23 10:38:42: DEBUG: add payload of len 16, next type 0
2008-09-23 10:38:42: DEBUG: 100 bytes from 192.168.2.100[500] to 192.168.1.100[500]
2008-09-23 10:38:42: DEBUG: sockname 192.168.2.100[500]
2008-09-23 10:38:42: DEBUG: send packet from 192.168.2.100[500]
2008-09-23 10:38:42: DEBUG: send packet to 192.168.1.100[500]
2008-09-23 10:38:42: DEBUG: src4 192.168.2.100[500]
2008-09-23 10:38:42: DEBUG: dst4 192.168.1.100[500]
2008-09-23 10:38:42: DEBUG: 1 times of 100 bytes message will be sent to 192.168.1.100[500]
2008-09-23 10:38:42: DEBUG:
3b3f7b2d eb528d52 00000000 00000000 01100200 00000000 00000064 0d000034
00000001 00000001 00000028 01010001 00000020 01010000 800b0001 800c7080
80010005 80030003 80020002 80040002 00000014 afcad713 68a1f1c9 6b8696fc
77570100
2008-09-23 10:38:42: DEBUG: resend phase1 packet 3b3f7b2deb528d52:0000000000000000
2008-09-23 10:38:52: DEBUG: 100 bytes from 192.168.2.100[500] to 192.168.1.100[500]
2008-09-23 10:38:52: DEBUG: sockname 192.168.2.100[500]
2008-09-23 10:38:52: DEBUG: send packet from 192.168.2.100[500]
2008-09-23 10:38:52: DEBUG: send packet to 192.168.1.100[500]
2008-09-23 10:38:52: DEBUG: src4 192.168.2.100[500]
2008-09-23 10:38:52: DEBUG: dst4 192.168.1.100[500]
2008-09-23 10:38:52: DEBUG: 1 times of 100 bytes message will be sent to 192.168.1.100[500]
2008-09-23 10:38:52: DEBUG:
3b3f7b2d eb528d52 00000000 00000000 01100200 00000000 00000064 0d000034
00000001 00000001 00000028 01010001 00000020 01010000 800b0001 800c7080
80010005 80030003 80020002 80040002 00000014 afcad713 68a1f1c9 6b8696fc
77570100
2008-09-23 10:38:52: DEBUG: resend phase1 packet 3b3f7b2deb528d52:0000000000000000
2008-09-23 10:39:02: DEBUG: 100 bytes from 192.168.2.100[500] to 192.168.1.100[500]
2008-09-23 10:39:02: DEBUG: sockname 192.168.2.100[500]
2008-09-23 10:39:02: DEBUG: send packet from 192.168.2.100[500]
2008-09-23 10:39:02: DEBUG: send packet to 192.168.1.100[500]
2008-09-23 10:39:02: DEBUG: src4 192.168.2.100[500]
2008-09-23 10:39:02: DEBUG: dst4 192.168.1.100[500]
2008-09-23 10:39:02: DEBUG: 1 times of 100 bytes message will be sent to 192.168.1.100[500]
2008-09-23 10:39:02: DEBUG:
3b3f7b2d eb528d52 00000000 00000000 01100200 00000000 00000064 0d000034
00000001 00000001 00000028 01010001 00000020 01010000 800b0001 800c7080
80010005 80030003 80020002 80040002 00000014 afcad713 68a1f1c9 6b8696fc
77570100
2008-09-23 10:39:02: DEBUG: resend phase1 packet 3b3f7b2deb528d52:0000000000000000

so und hier bleibt er jedesmal stehen und beim anpingen des jeweils anderen PC's bekomm ich die Fehlermeldung Resource temporaily unavailable.Ich komm echt nicht weiter. Meine Erfahrungen mit Linux sind eigentlich gleich 0 , da ich das erstemal mit linux arbeite. Ich hoffen irgendjemand kann mir helfen.

ich danke für jegliche Hilfe schonmal im voraus.

RE: IPSEC über RacoonRalf ( ---.dip.t-dialin.net)24 Sep 2008 10:41
Hallo,

einfach mal das AH weglassen. Macht heute eh keiner mehr ;-)

Gruß,

Ralf
RE: RE: IPSEC über RacoonBA-student ( ---.61.227.166.host.de.colt.net)24 Sep 2008 12:09
hi,

danke für den Tipp, aber leider besteht das Problem weiterhin. Hast du evtl noch andere Vorschläge?

MFG BA-Student
RE: RE: RE: IPSEC über RacoonRalf ( ---.dip.t-dialin.net)14 Oct 2008 13:35
Dann versuche es mal mit einem Tunnel statt Transport.

Gruß,

Ralf

[ Zurück ] Um ein neues Thema hinzu zu fügen müssen sie eingeloggt sein.
Umfrage

Welche Distribution verwenden Sie?

 A) Fedora Core
 B) SuSE
 C) Debian
 D) Mandriva
 E) Red Hat Enterprise Linux
 F) SuSE Enterprise Linux
 G) Slackware
 H) Ubuntu
 I) Gentoo
 J) Andere


Latest News
17 Oct 2008: Neue Schulung: Netzwerküberwachung mit Nagio...
17 Oct 2008: Neue Schulung: Virtualisierung mit KVM
24 Sep 2008: Business-Online Messe in Münster
24 Sep 2008: Eröffnungskonferenz am 25. September 2008
28 Aug 2008: Zertifizierung nach LPIC-3
Weitere News...

Login
eMail


Passwort
© 2002-2005 Ralf Spenneberg, OpenSource Security, Germany