|
|
Besucher 1260508
Ansichten 1802
Online 0 |
|
|
Problem mit IPSEC/racoon: kein tunnel / keine fehlermeldung!
| |
| Thema |
Verfasser |
Letzte Antwort |
| Problem mit IPSEC/racoon: kein tunnel / keine fehlermeldung! |
Gurgel ( ---.unitymediagroup.de) |
1 Apr 2010 15:37 | Hallo zusammen.
Ich habe hier ein äußerst ärgerliches Problem beim Versuch mit racoon von einem Ubuntu Linux Server ein VPN zu einer Linux Gegenstelle aufzubauen.
Ich habe leider kaum Erfahrung mit IPSec, aber der Admin der Gegenstelle betreibt bereits mehrere IPSec tunnels zu seinem Server und hat meine configs erfolglos auf Fehler untersucht. Ich glaube auch das Problem ist eher grundlegender Art, denn obwohl in den Logs keine für mich erkennbaren Fehler auftauchen, entstehen auf meinem System weder ein tunnel-device noch eine route - und ich vermute mal stark: ohne die geht nichts. Per tcpdump habe auch herausgefunden, daß keinerlei Netzwerkverkehr stattfindet, d.h. es wird erst garkeine verbindung ausgehandelt. Ich bin völlig ratlos und hänge hier erst mal die Ausgaben von "racoon -F -f /etc/racoon/racoon.conf" an:
--------------------------------------------------
root@server:~# /etc/init.d/setkey restart
Reloading IPsec SA/SP database: done.
root@server:~# racoon -F -f /etc/racoon/racoon.conf
Foreground mode.
2010-03-18 10:14:03: INFO: @(#)ipsec-tools 0.7.1 (http://ipsec-tools.sourceforge.net)
2010-03-18 10:14:03: INFO: @(#)This product linked OpenSSL 0.9.8g 19 Oct 2007 (http://www.openssl.org/)
2010-03-18 10:14:03: INFO: Reading configuration from "/etc/racoon/racoon.conf"
2010-03-18 10:14:03: INFO: Resize address pool from 0 to 255
2010-03-18 10:14:03: DEBUG: compression algorithm can not be checked because sadb message doesn't support it.
2010-03-18 10:14:03: DEBUG: getsainfo params: loc='192.168.111.1', rmt='192.168.100.19', peer='NULL', id=0
2010-03-18 10:14:03: DEBUG: getsainfo pass #2
2010-03-18 10:14:03: DEBUG: open /var/run/racoon/racoon.sock as racoon management.
2010-03-18 10:14:03: DEBUG: my interface: fe80::216:36ff:fe26:70cf%eth1 (eth1)
2010-03-18 10:14:03: DEBUG: my interface: ::1 (lo)
2010-03-18 10:14:03: DEBUG: my interface: 188.40.xxx.108 (eth1)
2010-03-18 10:14:03: DEBUG: my interface: 127.0.0.1 (lo)
2010-03-18 10:14:03: DEBUG: configuring default isakmp port.
2010-03-18 10:14:03: DEBUG: 4 addrs are configured successfully
2010-03-18 10:14:03: INFO: 127.0.0.1[500] used as isakmp port (fd=6)
2010-03-18 10:14:03: INFO: 127.0.0.1[500] used for NAT-T
2010-03-18 10:14:03: INFO: 188.40.xxx.108[500] used as isakmp port (fd=7)
2010-03-18 10:14:03: INFO: 188.40.xxx.108[500] used for NAT-T
2010-03-18 10:14:03: INFO: ::1[500] used as isakmp port (fd=8)
2010-03-18 10:14:03: INFO: fe80::216:36ff:xxxx:70cf%eth1[500] used as isakmp port (fd=9)
2010-03-18 10:14:03: DEBUG: pk_recv: retry[0] recv()
2010-03-18 10:14:03: DEBUG: get pfkey X_SPDDUMP message
2010-03-18 10:14:03: DEBUG: pk_recv: retry[0] recv()
2010-03-18 10:14:03: DEBUG: get pfkey X_SPDDUMP message
2010-03-18 10:14:03: DEBUG: sub:0xbfff06f8: 192.168.100.0/24[0] 192.168.111.0/24[0] proto=any dir=in
2010-03-18 10:14:03: DEBUG: db :0xb78bd968: 192.168.100.0/24[0] 192.168.111.0/24[0] proto=any dir=fwd
2010-03-18 10:14:03: DEBUG: pk_recv: retry[0] recv()
2010-03-18 10:14:03: DEBUG: get pfkey X_SPDDUMP message
2010-03-18 10:14:03: DEBUG: sub:0xbfff06f8: 192.168.111.0/24[0] 192.168.100.0/24[0] proto=any dir=out
2010-03-18 10:14:03: DEBUG: db :0xb78bd968: 192.168.100.0/24[0] 192.168.111.0/24[0] proto=any dir=fwd
2010-03-18 10:14:03: DEBUG: sub:0xbfff06f8: 192.168.111.0/24[0] 192.168.100.0/24[0] proto=any dir=out
2010-03-18 10:14:03: DEBUG: db :0xb78bdbb0: 192.168.100.0/24[0] 192.168.111.0/24[0] proto=any dir=in
[so, hier ist dann schluss, es passiert nichts mehr]
[wenn ich racoon mit strg-c beende, kommt noch:]
2010-03-18 10:16:47: INFO: caught signal 2
2010-03-18 10:16:47: DEBUG: pk_recv: retry[0] recv()
2010-03-18 10:16:47: DEBUG: get pfkey FLUSH message
2010-03-18 10:16:48: DEBUG: call pfkey_send_dump
2010-03-18 10:16:48: DEBUG: pk_recv: retry[0] recv()
2010-03-18 10:16:48: INFO: racoon shutdown
--------------------------------------------
[Anmerkung: die IP-Adressen habe ich aus Privacy-Gründen teilweise ausgeXt - die sind im echten Log natürlich korrekt und komplett!]
Hinzufügen möchte ich noch, daß auf meiner Seite die Netzwerksituation so einfach gehalten ist wie irgend möglich: keinerlei Firewall-Regeln oder sonstige Späße.
Da auf der Gegenseite schon mehrere Tunnels laufen, kann man wohl auch davon ausgehen, daß dort alle erforderlichen Ports und routen offen/gesetzt sind.
Meine Frage ist nun, wo sollte ich nach Problemen schauen?
Was könnte der Grund sein, daß ich nichts bekomme, nicht mal Fehlermeldungen? Oder bin ich nur zu blind?
|
| ||
| RE: Problem mit IPSEC/racoon: kein tunnel / keine fehlermeld... | Ralf ( ---.dip.t-dialin.net) | 1 Apr 2010 15:37 |
Hallo,
Ein Tunneldevice gibt es mit Racoon und Kernel 2.6 nicht. Auch Routen werden nicht gesetzt. Das wird über IPsec-Policies gelöst.
Was möglicherweise das Problem darstellt, ist dass der Racoon von sich aus den Tunnel nicht startet, sondern immer dazu gezwungen werden muss, z.B. mit einem Ping, welches den Tunnel braucht. Der Tunnel wird nur bei Bedarf (on Demand) aufgebaut.
Leider schreibst Du nicht, ob Du das probierst.
Gruß,
Ralf |
[ Zurück ] Um ein neues Thema hinzu zu fügen müssen sie eingeloggt sein.
|
|
|
|
Welche Distribution verwenden Sie?
| |
|
|
|
17 Oct 2008: