| Thema |
Verfasser |
Letzte Antwort |
| 2. Versuch: OpenSWAN mit Roadwarrior Client |
getle ( ---.dip.t-dialin.net) |
31 Aug 2010 17:50 |
Hallo,
in meinem vorherigen Thread bin ich leider zu keiner Lösung gekommen. Da RSA nicht funktioniert wollte ich auf PSK
umsteigen. Racoon kann aber anscheinend nicht richtig mit dynamischen IP-Adressen umgehen oder unterstützt das Nokia
nicht in diesem Modus, da der FQDN vom Nokia bei Racoon nicht ankommt (zur Ermittlung des PSK), Racoon will den PSK für die IP (die sich ändert). Deshalb wollte ich es jetzt mal mit OpenSWAN und PSK probieren.
Die Konfiguration wird hier auf dieser Seite beschrieben:
http://www.thorsten-knabe.de/linux/e61.jsp
Allerdings funktioniert es so bei mir leider nicht so.
Beim Versuch die Verbindung mit
ipsec setup restart
ipsec auto --up N82
zu starten, erhalte ich zwei verschiedene Fehlermeldungen
029 "N82": cannot initiate connection without knowing peer IP address (kind=CK_TEMPLATE)
oder
024 need --listen before --initiate
ich dachte OpenSWAN kann mit dynamischen IPs umgehen.
Das nächste Problem ist, das die Verbindung zum Server nach dem Start innerhalb einiger Minuten komplett abbricht (kein Ping mehr möglich),
da ich selber mit VNC bzw. einer Putty SSH Konsole auf dem Server hänge bin ich auf die Verbindung angewiesen.
Hier mal meine Konfigurationsdateien:
/etc/ipsec.conf
version 2.0
config setup
nat_traversal=yes
nhelpers=0
#plutodebug=all
# Add connections here
conn N82
# Key exchange
ike=aes256-sha1-modp1536
# Data exchange
esp=aes256-sha1
# Authentication method PSK
authby=secret
auto=add
keyingtries=3
rekey=no
pfs=no
# Modeconfig setting
modecfgpull=yes
# local endpoint
left=192.168.1.25
leftxauthserver=no
leftmodecfgserver=yes
leftsourceip=10.7.0.1
leftsubnet=0.0.0.0/0
# remote endpoint
right=%any
rightxauthclient=no
rightmodecfgclient=yes
rightsourceip=10.7.0.2
rightsubnet=10.7.0.2/32
#Disable Opportunistic Encryption
#include /etc/ipsec.d/examples/no_oe.conf
#include /etc/ipsec.d/examples/n82.conf
/etc/ipsec.secrets
# RCSID $Id: ipsec.secrets.proto,v 1.3.6.1 2005-09-28 13:59:14 paul Exp $
# This file holds shared secrets or RSA private keys for inter-Pluto
# authentication. See ipsec_pluto(8) manpage, and HTML documentation.
# RSA private key for this host, authenticating it to any other host
# which knows the public part. Suitable public keys, for ipsec.conf, DNS,
# or configuration of other implementations, can be extracted conveniently
# with "ipsec showhostkey".
: PSK "MeingeheimerKey"
Um die mal eine Vorstellung zu geben, wie das ganze Netz aussehen soll, habe ich mal eine kleine Zeichnung online gestellt:
http://i956.photobucket.com/albums/ae42/getle87/f073d72d.jpg
Ich weiß das es sich wahrscheinlich hier um Anfängerfragen handelt, ich habe auch schon eine Weile nach den Fehlern
gesucht im Netz, man findet allerdings größtenteils nicht wirklich was brauchbares oder in Sprachen, die ich nicht spreche.
Die Tutorials sind teilweise eher für Experten als für Einsteiger geschrieben. Racoon war da bedeutend einfacher zu verstehen.
Ich wäre sehr dankbar wenn mir jemand, der sich mit OpenSWAN gut auskennt, bei dem Thema mal helfen könnte.
Mfg
Tony |
| ||
| RE: 2. Versuch: OpenSWAN mit Roadwarrior Client | Ralf ( ---.dip.t-dialin.net) | 24 Aug 2010 06:07 |
Hallo,
Du hast hier ein Verständnisproblem. PSK und Main-Mode geht grundsätzlich nicht. Das hängt nicht mit Racoon oder Openswan zusammen. Das Problem ist das exakte Verfahren bei PSK und Main-Mode.
Zur Erklärung: Bei dem MainMode wird die ID des Peers verschlüsselt übertragen. Deswegen wird dieser Modus häufig auch Identity Protection (IDPROT) Modus genannt. Bei der Authentifizierung mit PSKs geht der PSK mit in die Ermittelung des Schlüssels für diese Verschlüsselung ein. Der Empfänger steht also vor einem Dilemma: Er möchte die ID des Peers entschlüsseln um den richtigen PSK zu wählen, benötigt dafür aber bereits den richtigen PSK. Daher funktioniert das nur, wenn der Peer als ID seine IP-Adresse verwendet. Diese kann der Empfänger ja bereits aus dem Header der Pakete auslesen. FQDN, etc. geht bei IKEv1 nicht im Main Mode sondern nur im Aggressive Mode. Hier wird die ID dann im Klartext übertragen.
IKEv2 (was dein Handy wahrscheinlich nicht kann und Racoon und Openswan auch nicht können) hat nicht diese Einschränkung.
Gruß,
Ralf
|
| RE: 2. Versuch: OpenSWAN mit Roadwarrior Client | Ralf ( ---.dip.t-dialin.net) | 24 Aug 2010 06:09 |
On 24 Aug 2010 06:07 'getle' wrote:
>
> http://www.thorsten-knabe.de/linux/e61.jsp
Ich habe mir gerade nochmal die von Dir oben angegebene Seite angesehen. Hier wird klassisch Cisco Gruppenauthentifizierung mit Xauth verwendet. Das geht nur, weil alle Clients denselben PSK verwenden. Es gibt nur einen. Eine Unterscheidung in Abhängigkeit des Clients erfolgt nicht. Openswan kann das, Racoon nicht.
Gruß,
Ralf
|
| RE: RE: 2. Versuch: OpenSWAN mit Roadwarrior Client | getle ( ---.dip.t-dialin.net) | 24 Aug 2010 08:11 |
Danke Ralf für die Antworten, das hat wieder mal mehr Licht ins Dunkle gebracht.
Mein Handy kann IKEv2, jedenfalls steht es in dem Programm mit dem man die Policen programmiert.
Soweit ich das gelesen habe kann das nur strongSwan oder gibt es noch anderes, weil ich das Gefühl habe, das ich mir mit der Swan Reihe nur Ärger auf dem Server mache wenn ich schon sehe, das die Verbindung ständig streikt.
Mfg
Tony |
| RE: RE: RE: 2. Versuch: OpenSWAN mit Roadwarrior Client | Ralf ( ---.dip.t-dialin.net) | 24 Aug 2010 08:12 |
strongSwan kann es. Ein Versuch wäre es Wert. Mit welchem Programm werden die Policies programmiert?
Gruß,
Ralf
|
| RE: RE: RE: RE: 2. Versuch: OpenSWAN mit Roadwarrior Client | getle ( ---.dip.t-dialin.net) | 24 Aug 2010 08:29 |
Das Programm findest du hier
http://europe.nokia.com/support/download-software/nokia-mobile-vpn/compatibility-and-download
der letzte Link auf der Seite ist es, davor sind die Clienten für die Telefone.
Mfg
Tony |
| RE: RE: RE: RE: 2. Versuch: OpenSWAN mit Roadwarrior Client | getle ( ---.dip.t-dialin.net) | 24 Aug 2010 08:37 |
Das Programm findest du hier
http://europe.nokia.com/support/download-software/nokia-mobile-vpn/compatibility-and-download
der letzte Link auf der Seite ist es, davor sind die Clienten für die Telefone.
Mfg
Tony |
| RE: RE: RE: RE: 2. Versuch: OpenSWAN mit Roadwarrior Client | getle ( ---.dip.t-dialin.net) | 24 Aug 2010 08:42 |
Das Programm findest du hier
http://europe.nokia.com/support/download-software/nokia-mobile-vpn/compatibility-and-download
der letzte Link auf der Seite ist es, davor sind die Clienten für die Telefone.
Mfg
Tony |
| RE: RE: RE: RE: RE: 2. Versuch: OpenSWAN mit Roadwarrior Cli... | getle ( ---.dip.t-dialin.net) | 24 Aug 2010 08:43 |
Sorry irgendwas ist hier beim posten schief gegangen.
Mfg
Tony |
| RE: RE: RE: RE: RE: 2. Versuch: OpenSWAN mit Roadwarrior Cli... | Ralf ( ---.dip.t-dialin.net) | 24 Aug 2010 08:53 |
Wenn das inzwischen IKEv2 kann: nett. Ich schaue es mir mal an.
Gruß,
Ralf |
| 2. Versuch: OpenSWAN mit Roadwarrior Client | getle ( ---.dip.t-dialin.net) | 24 Aug 2010 09:17 |
IKEv2 hab ich mit dem Programm noch nicht ausprobiert.
Mfg
Tony |
| RE: 2. Versuch: OpenSWAN mit Roadwarrior Client | getle ( ---.dip.t-dialin.net) | 26 Aug 2010 15:13 |
Hallo Ralf,
also es mit strongSwan und IKEv2 und PSK funktioniert es. Allerdings ist die maximale Länge des PSK auf 64 Zeichen begrenzt, danach wird die der Schlüssel als fehlerhaft ausgewertet, obwohl der Nokia Client bis zu 256 Zeichen unterstützt.
Was mir aufgefallen ist, das IKEv2 viel flexibler ist und nicht wegen jedem kleinen Ding eine Fehlermeldung ausgibt, das Einrichten dauerte so nur ein paar Stunden.
Das einzige was noch nicht so richtig funktioniert, ist die Zuweisung einer virtuellen IP am Server, der Client bekommt eine und ist über diese auch erreichbar.
Ich werde es nochmal mit X.509 Zertifikaten probieren.
Mfg
Tony |
| RE: RE: 2. Versuch: OpenSWAN mit Roadwarrior Client | Ralf ( ---.dip.t-dialin.net) | 30 Aug 2010 08:46 |
Hallo, die Begrenzung auf 64 Zeichen kann existieren, obwohl die Frage ist, wer den Fehler macht. Vielleicht einfach mal eine E-Mail an Andreas Steffen von strongSwan.
Funktioniert das nun mit der IP oder nicht? Wenn der Client eine bekommt und erreichbar ist, ist doch alles Ok, oder?
Gruß,
Ralf
|
| RE: RE: RE: 2. Versuch: OpenSWAN mit Roadwarrior Client | getle ( ---.dip.t-dialin.net) | 30 Aug 2010 11:18 |
Also das mit der IP hab ich es jetzt nicht weiter getestet. Der Server kennt aber die virtuelle IP Adresse des Clients obwohl diese in der Routingtabelle des Servers nicht mal vermerkt ist und der Server selber kein Interface hat, das eine IP in dem virtuellen Netz hat. Ich kann vom Client aber auch jedes Interface am Server und mein Rechner im Heimnetz anpingen. Das widerspricht eigentlich jeder Regel der IP Kunst, in diesem Fall sag ich mal "Hauptsache es funktioniert".
Wegen der Geschichte mit den 64 Zeichen frag ich mal nach.
Mfg
Tony |
| RE: RE: RE: RE: 2. Versuch: OpenSWAN mit Roadwarrior Client | Ralf ( ---.versanet.de) | 31 Aug 2010 17:50 |
Nun ja, IPsec ist nicht Routing. Du müsstest die IP-Adresse des Clients mit setkey sehen können.
Gruß,
Ralf
|
17 Oct 2008: