| Thema |
Verfasser |
Letzte Antwort |
| RSA padding check failed, racoon + Nokia N82 + RSA |
getle ( ---.dip.t-dialin.net) |
20 Aug 2010 16:22 |
Hallo,
ich arbeite seit einer Weile an einem sehr experimentellen Versuch ein Nokia über IPSec mit meinen Debian Rechner (lenny und racoon als VPN daemon) zu verbinden. Racoon habe ich bereits nach der Anleitung hier
http://linuxconnect.blogspot.com/2010/04/howto-connect-nokia-vpn-to-gnulinux.html
modifiziert und das NAT Traversal funktioniert auch, jedenfalls im PSK Modus.
Die Einwahl mit einem RSA Zertifikat schlägt leider immer wieder fehl, heut Vormittag funktionierte es aber ein ganze Zeit, ich konnte eine VoIP Verbindung zu meinem Windows Rechner aufbauen, jetzt leider wieder nicht. Der Fehler tritt immer sporadisch auf, deshalb geh ich nicht von einem Konfigurationsfehler, sondern eher von einem Bug oder ähnlichem aus.
Racoon zeigt bei der Einwahl folgende Meldung:
2010-08-17 16:03:48: INFO: @(#)ipsec-tools 0.7.1 (http://ipsec-tools.sourceforge.net)
2010-08-17 16:03:48: INFO: @(#)This product linked OpenSSL 0.9.8o 01 Jun 2010 (http://www.openssl.org/)
2010-08-17 16:03:48: INFO: Reading configuration from "/etc/racoon/racoon.conf"
2010-08-17 16:03:52: INFO: Resize address pool from 0 to 255
2010-08-17 16:03:52: INFO: Resize address pool from 255 to 20
2010-08-17 16:03:52: ERROR: resize pool from 255 to 20 impossible port 255 is in use
2010-08-17 16:03:52: INFO: 192.168.1.25[4500] used as isakmp port (fd=5)
2010-08-17 16:03:52: INFO: 192.168.1.25[4500] used for NAT-T
2010-08-17 16:03:52: INFO: 192.168.1.25[500] used as isakmp port (fd=6)
2010-08-17 16:03:52: INFO: 192.168.1.25[500] used for NAT-T
2010-08-17 16:04:10: INFO: respond new phase 1 negotiation: 192.168.1.25[500]<=>109.42.9.154[500]
2010-08-17 16:04:10: INFO: begin Identity Protection mode.
2010-08-17 16:04:10: INFO: received Vendor ID: DPD
2010-08-17 16:04:10: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-03
2010-08-17 16:04:10: INFO: received Vendor ID: RFC 3947
2010-08-17 16:04:10: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
2010-08-17 16:04:10: INFO: received Vendor ID: CISCO-UNITY
2010-08-17 16:04:10: INFO: Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-03
2010-08-17 16:04:10: INFO: Adding xauth VID payload.
2010-08-17 16:04:11: INFO: Hashing 192.168.1.25[500] with algo #2
2010-08-17 16:04:11: INFO: NAT-D payload #0 doesn't match
2010-08-17 16:04:11: INFO: Hashing 109.42.9.154[500] with algo #2
2010-08-17 16:04:11: INFO: NAT-D payload #1 verified
2010-08-17 16:04:11: INFO: NAT detected: ME
2010-08-17 16:04:11: INFO: Hashing 109.42.9.154[500] with algo #2
2010-08-17 16:04:11: INFO: Hashing 192.168.1.25[500] with algo #2
2010-08-17 16:04:11: INFO: Adding remote and local NAT-D payloads.
2010-08-17 16:04:12: INFO: NAT-T: ports changed to: 109.42.9.154[4500]<->192.168.1.25[4500]
2010-08-17 16:04:12: INFO: KA list add: 192.168.1.25[4500]->109.42.9.154[4500]
2010-08-17 16:04:12: ERROR: 10914:error:0407006A:rsa routines:RSA_padding_check_PKCS1_type_1:block type is not 01:rsa_pk1.c:100: 10914:error:04067072:rsa routines:RSA_EAY_PUBLIC_DECRYPT adding check failed:rsa_eay.c:697:
2010-08-17 16:04:12: ERROR: Invalid SIG.
2010-08-17 16:04:22: ERROR: 10914:error:0407006A:rsa routines:RSA_padding_check_PKCS1_type_1:block type is not 01:rsa_pk1.c:100: 10914:error:04067072:rsa routines:RSA_EAY_PUBLIC_DECRYPTadding check failed:rsa_eay.c:697:
2010-08-17 16:04:22: ERROR: Invalid SIG.
2010-08-17 16:04:27: ERROR: 10914:error:0407006A:rsa routines:RSA_padding_check_PKCS1_type_1:block type is not 01:rsa_pk1.c:100: 10914:error:04067072:rsa routines:RSA_EAY_PUBLIC_DECRYPTadding check failed:rsa_eay.c:697:
2010-08-17 16:04:27: ERROR: Invalid SIG.
2010-08-17 16:04:32: ERROR: 10914:error:0407006A:rsa routines:RSA_padding_check_PKCS1_type_1:block type is not 01:rsa_pk1.c:100: 10914:error:04067072:rsa routines:RSA_EAY_PUBLIC_DECRYPTadding check failed:rsa_eay.c:697:
2010-08-17 16:04:32: ERROR: Invalid SIG.
2010-08-17 16:04:37: ERROR: 10914:error:0407006A:rsa routines:RSA_padding_check_PKCS1_type_1:block type is not 01:rsa_pk1.c:100: 10914:error:04067072:rsa routines:RSA_EAY_PUBLIC_DECRYPTadding check failed:rsa_eay.c:697:
2010-08-17 16:04:37: ERROR: Invalid SIG.
2010-08-17 16:04:37: ERROR: ignore information because ISAKMP-SAhas not been established yet.
2010-08-17 16:05:01: ERROR: phase1 negotiation failed due to time up. 87c0759bb8935346:b52d04e98bc676ac
2010-08-17 16:05:01: INFO: KA remove: 192.168.1.25[4500]->109.42.9.154[4500]
Im Forum hier habe ich einen ähnlichen Beitrag gefunden, allerdings war die Fehlerursache eine andere als meine.
Ich habe bereits eine ganze Weile im Internet gesucht und bin auch etwas gestoßen was der Sache näher kommt
http://www.mail-archive.com/openssl-dev@openssl.org/msg25515.html
Dort taucht der Fehler genau so auf wie bei mir. Laut dem Autor soll das irgendwas mit den RSA Blinding zu tun haben. Er beschreibt ebenfalls wie man es abschaltet und Fehler beseitigt.
Ich selber kann mit der Quelltextangabe aber nix anfangen, da ich auch nicht weiß in welchem Paket bzw. in welcher Datei man Änderungen vornehmen müsste und was alles neu kompiliert werden muss.
Ich bin selber kein IT-Student oder Professor und kenn mich mit Programmierung nur grundlegend aus.
Wenn jemand mir helfen kann wäre ich sehr dankbar
Gruß
Tony |
| ||
| RE: RSA padding check failed, racoon + Nokia N82 + RSA | Ralf ( ---.dip.t-dialin.net) | 17 Aug 2010 14:46 |
Hallo,
das ist ein Bug in OpenSSL. Hier müsste die Quelltext-Datei
SSL_CTX_use_PrivateKey_file
geändert werden. Du könntest prüfen, ob ein aktuelleres OpenSSL-Paket vielleicht funktioniert.
Gruß,
Ralf
|
| RE: RSA padding check failed, racoon + Nokia N82 + RSA | getle ( ---.dip.t-dialin.net) | 17 Aug 2010 22:31 |
Also mit dem aktuellsten Debianpaket funktioniert es trotzdem nicht. OpenSSL ist bereits bei Version 1.0.0 und Debian noch bei 0.9.8.
Ich weiß ja ne ob man die neuste Version auch zum laufen bekommen kann, da diese nur als Quelltext vorliegt und kein Debianpaketscript enthält (zum Selbstbauen der Pakete). |
| RE: RE: RSA padding check failed, racoon + Nokia N82 + RSA | Ralf ( ---.dip.t-dialin.net) | 18 Aug 2010 08:36 |
Hmh. Da ich den Fehler nicht reproduzieren kann bei mir, kann ich Dir nicht sagen, ob möglicherweise die 0.9.8n aus unstable vielleicht schon reicht oder die Version 1.0.0 benötigt wird. Vielleicht ist der Patch aber auch da noch nicht drin. Das OpenSSL-Team ist ein wenig komisch mit der Annahme von Patchen ;-)
Ich kenne da einige, die noch nicht upstream submitted sind.
Vielleicht ist da doch ein eigenes Paket mit Pinning erforderlich.
Gruß,
Ralf
|
| RE: RSA padding check failed, racoon + Nokia N82 + RSA | getle ( ---.dip.t-dialin.net) | 18 Aug 2010 10:08 |
| Ich verwende schon das Paket OpenSSL Version 0.9.8o-1 und libssl ist ebenfalls die gleiche Version. Ich denk mal eher hier wird die Quelltextmodifikation der einzigste Weg sein. |
| RE: RE: RSA padding check failed, racoon + Nokia N82 + RSA | Ralf ( ---.dip.t-dialin.net) | 18 Aug 2010 12:10 |
Das wird dann wohl so sein. Sorry.
Gruß,
Ralf
|
| RE: RSA padding check failed, racoon + Nokia N82 + RSA | getle ( ---.dip.t-dialin.net) | 18 Aug 2010 13:04 |
Die Funktion so wie Sie in der Änderung beschrieben wurde befindet sich in der ssl/ssl_rsa.c. Die Änderung habe ich jetzt vorgenommen.
So wie es aussieht entspringen aus dem Quelltext mehrere Debianpakete. Das Kompilieren mit dem Befehl debuild -uc -us
wie bei der Modifikation von Racoon funktioniert unter der Ausgabe von
dpkg-source: Fehler: alte Version ist Symlink auf ../crypto/sha/sha256t.c
dpkg-source: Fehler: kann Änderungen an openssl-0.9.8o/test/sha512t.c nicht darstellen:^
dpkg-source: Fehler: neue Version ist einfache Datei
dpkg-source: Fehler: alte Version ist Symlink auf ../crypto/sha/sha512t.c
dpkg-source: Fehler: kann Änderungen an openssl-0.9.8o/test/shatest.c nicht darstellen:^
dpkg-source: Fehler: neue Version ist einfache Datei
dpkg-source: Fehler: alte Version ist Symlink auf ../crypto/sha/shatest.c
dpkg-source: Fehler: kann Änderungen an openssl-0.9.8o/test/ssltest.c nicht darstellen:^
dpkg-source: Fehler: neue Version ist einfache Datei
dpkg-source: Fehler: alte Version ist Symlink auf ../ssl/ssltest.c
dpkg-source: Warnung: ignoriere Löschen der Datei Makefile
dpkg-source: Warnung: ignoriere Löschen der Datei apps/CA.pl
dpkg-source: Warnung: ignoriere Löschen der Datei crypto/opensslconf.h
dpkg-source: Warnung: ignoriere Löschen der Datei tools/c_rehash
dpkg-source: Fehler: nicht darstellbare Änderungen an den Quellen
dpkg-buildpackage: Fehlschlag: dpkg-source -b openssl-0.9.8o gab Fehler-Exitstatus 2
debuild: fatal error at line 1319:
dpkg-buildpackage -rfakeroot -D -us -uc failed
nicht. Gibt es noch eine andere Variante aus dem Quelltext die Pakete zu bekommen bzw. das Programm gleich erkennbar auf dem Rechner zu installieren? |
| RE: RSA padding check failed, racoon + Nokia N82 + RSA | getle ( ---.dip.t-dialin.net) | 19 Aug 2010 22:06 |
Hallo,
also das Erstellen der Pakete klappt seit dem Downgrade von den squeeze auf lenny Paketversionen. Die erste Modifikation des Quellcodes hat nix gebracht, es gibt noch eine zweite Variante, die ich gerade ausprobiere. Der Fehler liegt anscheinend nicht direkt im Paket openssl, sondern in der libssl da racoon das OpenSSL Paket nicht direkt braucht.
Gruß
Tony |
| RE: RE: RSA padding check failed, racoon + Nokia N82 + RSA | getle ( ---.dip.t-dialin.net) | 20 Aug 2010 16:22 |
| Also ich habe insgesamt mit drei Modifikationen mein Glück versucht, keine einzige hat was gebracht, der Fehler besteht weiterhin. Wenn noch jemand ein Rat weiß wäre ich sehr dankbar. |
17 Oct 2008: