Freeswan/openssl+SSH Sentinel

[sparstrumpf]

Hi @all,

ich hab ein Problem.:-)

Ich will mich mit dem Sentinel über ein Gateway auf einen Rechner hängen.

Verwendete Software:

Suse8.0 (Gateway)

Openssl

Freeswan

W2K(Roadwarrior)

SSH Sentinel

Aber nach der Zertifikatserstellung und allem drum und dran bekomm ich immer folgende Meldungen:(Ausschnitt aus /var/log/messages)

Sep 18 17:10:08 linux Pluto[1707]: Changing to directory '/etc/ipsec.d/cacerts'

Sep 18 17:10:08 linux Pluto[1707]: loaded cacert file 'cacert.pem' (1582 bytes)

Sep 18 17:10:08 linux Pluto[1707]: Changing to directory '/etc/ipsec.d/crls'

Sep 18 17:10:08 linux Pluto[1707]: Warning: empty directory

Sep 18 17:10:08 linux Pluto[1707]: loaded my X.509 cert file '/etc/x509cert.der' (1018 bytes)

Sep 18 17:10:08 linux Pluto[1707]: added connection description "Roadwarrior"

Sep 18 17:10:08 linux Pluto[1707]: listening for IKE messages

Sep 18 17:10:08 linux Pluto[1707]: adding interface ipsec0/eth0 172.23.100.145

Sep 18 17:10:08 linux Pluto[1707]: loading secrets from "/etc/ipsec.secrets"

Sep 18 17:10:08 linux Pluto[1707]: loaded private key file '/etc/ipsec.d/private/gwkey.pem' (951 bytes)

Sep 18 17:10:17 linux Pluto[1707]: packet from 172.23.100.121:500: ignoring Vendor ID payload

Sep 18 17:10:17 linux Pluto[1707]: "Roadwarrior" 172.23.100.121 #1: responding to Main Mode from unknown peer 172.23.100.121

Sep 18 17:10:18 linux Pluto[1707]: "Roadwarrior" 172.23.100.121 #1: ignoring informational payload, type IPSEC_INITIAL_CONTACT

Sep 18 17:10:18 linux Pluto[1707]: "Roadwarrior" 172.23.100.121 #1: Peer ID is ID_DER_ASN1_DN: 'C=DE, ST=Bayern, O=MSU, OU=TS, CN=patrick, E=paddyb@gmx.at'

Sep 18 17:10:18 linux Pluto[1707]: "Roadwarrior" 172.23.100.121 #1: Issuer CRL not found

Sep 18 17:10:18 linux Pluto[1707]: "Roadwarrior" 172.23.100.121 #1: Issuer CRL not found

Sep 18 17:10:18 linux Pluto[1707]: "Roadwarrior" 172.23.100.121 #1: multiple ipsec.secrets entries with distinct secrets match endpoints: first secret used

Sep 18 17:10:18 linux Pluto[1707]: "Roadwarrior" 172.23.100.121 #1: deleting connection "Roadwarrior" instance with peer 172.23.100.121

Sep 18 17:10:18 linux Pluto[1707]: "Roadwarrior" 172.23.100.121 #1: multiple ipsec.secrets entries with distinct secrets match endpoints: first secret used

Sep 18 17:10:18 linux Pluto[1707]: "Roadwarrior" 172.23.100.121 #1: sent MR3, ISAKMP SA established

Sep 18 17:10:18 linux Pluto[1707]: "Roadwarrior" 172.23.100.121 #1: Informational Exchange message for an established ISAKMP SA must be encrypted

Wer mir weiterhlefen kann: BITTE BITTE TU ES!!!!

mfG,

redheat

[dr.disk]

FreeS/WAN hat Dir damit gesagt, daß er die RootCA nicht kennt. Also diejenigen, die das Zertifikat erstellt haben.

Das warst wohl Du, da Du als benutzte Software auch OpenSSL angegeben hast. Also nur die RootCa in das geforderte Verzeichnis kopieren und es sollte dann funktionieren.

Was für eine FreeS/WAN-Version benutzt Du denn? Ist nämlich bei jeder Version etwas anders... Hast Du die Zertifikate mit OpenSSL oder mit Sentinel erstellt?

Bevor jemand fragt: Sentinel ist wirklich ok - solange man ihn nicht unter W98 benutzt. Da hatte ich nur Probleme damit. Was auch noch bei W2k wichtig ist SP3 oder SP2 und das Hotfix q?? (Müßte bei der Arbeit nachsehen welche Nummer das genau hat - es geht um einen Bug bei der PMTU).

[sparstrumpf]

Also arbeitsverzeichniss ist /etc/meinCA

Die Befehle waren:

openssl genrsa -des3 -out private/cakey.pem 2048

openssl req -new -x509 -days 1825 -key private/cakey.pem -out cacert.pem

openssl x509 -in cacert.pem -noout -text

cp cacert.pem /etc/ipsec.d/cacerts/

openssl genrsa -des3 -out private/gwkey.pem 1024

openssl req -new -key private/gwkey.pem -out gwreq.pem

openssl ca -notext -in gwreq.pem -out gwcert.pem

openssl x509 -in gwcert.pem -outform der -out /etc/x509cert.der

cp private/gwkey.pem /etc/ipsec.d/private/

openssl genrsa -des3 -out private/userkey.pem 1024

openssl req -new -key private/userkey.pem -out userreq.pem

openssl ca -notext -enddate 0209301200Z -in userreq.pem -out usercert.pem

openssl pkcs12 -export -in usercert.pem -inkey private/userkey.pem -certfile cacert.pem -out user.p12

openssl ca -gencrl -out crl/crl.pem

das user.p12 File habe ich dann dem Sentinel gefüttert.

SW Versionen: Frees/Wan 1.95, x509Patch .098 und Opsenssl 0.9.6 (alles Standard Suse 8.0)

[dr.disk]

Ooops. Mein Fehler. Es war nicht die RootCA sondern die crl die fehlte. Dein letzter Befehlt hat die CRL erstellt. Diese einfach nach /etc/ipsec.d/crls kopieren und das sollte es gewesen sein.

[sparstrumpf]

Hallo,

danke für die schnelle Antwort.

Dieses Problem ist jetzt weg.

Mein Hauptproblem besteht allerdings immer noch :-(

Inhalt von ipsec.secrets:

# which knows the public part. Suitable public keys, for ipsec.conf, DNS,

# or configuration of other implementations, can be extracted conveniently

# with "ipsec showhostkey".

: RSA {

# RSA 2048 bits linux Mon Sep 16 13:31:45 2002

# for signatures only, UNSAFE FOR ENCRYPTION

#pubkey=0sAQOpfGjgCfsWXfyBUtw3NLA7ctbvGYDLjDT3U73l7wtPsqsQRd+HfbhHrRaCBPxkaM2ug40QQsdOgDTSuy3OG1bfpKblDrU/+vwOhLFKeyjnM/0bZI1ARGm6JErClKuXrr7Jms4WENdVIP7V4BIAHR/4ZJ+WoSL0yF4D/hL2rMNYQCq5G3VEiqobxWeXt8G+1sihSqa3lOdQ3kcIvG7mdpm3hu7lSC9u8PmQArcqrcmGl9E0O7tVahEoErsX6Ak9gSto08U7jRUbn9sGvpcybmG2Iz6ODMckPM9Vq07pDfTEVX310du+tYeT7GFSsvd4VYktG8uRNrP8z5/681exvcjP

#IN KEY 0x4200 4 1 AQOpfGjgCfsWXfyBUtw3NLA7ctbvGYDLjDT3U73l7wtPsqsQRd+HfbhHrRaCBPxkaM2ug40QQsdOgDTSuy3OG1bfpKblDrU/+vwOhLFKeyjnM/0bZI1ARGm6JErClKuXrr7Jms4WENdVIP7V4BIAHR/4ZJ+WoSL0yF4D/hL2rMNYQCq5G3VEiqobxWeXt8G+1sihSqa3lOdQ3kcIvG7mdpm3hu7lSC9u8PmQArcqrcmGl9E0O7tVahEoErsX6Ak9gSto08U7jRUbn9sGvpcybmG2Iz6ODMckPM9Vq07pDfTEVX310du+tYeT7GFSsvd4VYktG8uRNrP8z5/681exvcjP

# (0x4200 = auth-only host-level, 4 = IPSec, 1 = RSA)

Modulus: 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

PublicExponent: 0x03

# everything after this point is secret

PrivateExponent: 0x1c3f66d001a9d90faa158dcf5e88c809e87927d995774208d3e34a50fd2c8d4871d80ba5413f9eb69cd915ab7f6611779d15ecd80b2137c008cdc9dcf7af3925461bd0d7c8dfff2a026b72e1bf317bddff8490c23560bc49b0b7206e1c9947ca76ef225902ce8e302a78faadaaaf855410c543c585d376ba55ffadd3c775e40a6b213b976f68b70c2e01fff522e6db76b21b3d3f8588b03e6e8c6090c0907f401fb1472bc1a0c5d9dea13660448e8376269affad460bdf538dcd1a11cd468528d5aa39ef92b0eead510e676e5fa9f29f387e775e30fde8cca410a15c9bade89bf0d9aaa9512d923cb1ff4c78b8109c6a21b169db64219afbd25b7cd5dc54306f

Prime1: 0xfb434515a2afcd667c917839ee5e5fedc37e8a4ea1e989fcd392939939cf3c85b76fe46170b7b263010adea66adede38285e0b084f8b8765d9a3e8b4ed0aee43c9af70cf440604f75c94c7de49987eb954e55291f46597812f3686c246ef0570748c9db28c4a3d79cb856843d1a24fa543768bafc5dc819822675034877ea23d

Prime2: 0xacae70d30566926c34ca1fbf01f75212b128acebd1c9a56adc2be571294461b1115755e034f29b7b57309242a793939ac13432a361974dcce64892c84c8b73f29d26f8ced8e97e98981b8a22aada33417b626f45accb30824e10fffb20f24b3d644f34314b59dcadf4e01f9ad5725b671f7cc4bd180dd9508f6eb620004603fb

Exponent1: 0xa7822e0e6c753399a860fad149943ff3d7a9b189c1465bfde261b7bb7bdf7dae7a4a9840f5cfcc4200b1e9c4473f3ed01ae95cb03507af993bc29b2348b1f42d311fa08a2d5958a4e8632fe98665a9d0e3438c614d990fab74cf0481849f58f5a3086921b2dc28fbdd039ad7e116dfc3824f07ca83e856656c44e02304ff16d3

Exponent2: 0x731ef5e20399b6f2cddc152a014f8c0c761b1df28bdbc39c92c7ee4b70d84120b63a3940234c67a78f75b6d71a6262672b7821c2410f8933443061daddb24d4c68c4a5df3b465465babd06c1c73c222ba796f4d91ddccb018960aaa76b4c3228ed8a22cb87913dc94deabfbc8e4c3cef6a532dd3655e90e05f9f2415558402a7

Coefficient: 0x988da5951b4cccc45605bf17a6ff29a5a31819439aec483339580f0cb6287e85aca4d971fc79eb7917ba03adf54f889405cc28ab4eb7432a790089bbd919952482386c4467eaf76fd2e9c861ea1d090fddfa934ee3c807afe5d5d37f07f60ae4d799ecbcb62b66eff20cce44a6aa9ef24e23fd5089d0b39a175a543eb44297e4

}

: RSA gwkey.pem "ipsec"

# do not change the indenting of that "}"

Das tail -f bringt dann folgende Meldungen:

Sep 19 11:05:40 linux Pluto[1978]: Changing to directory '/etc/ipsec.d/cacerts'

Sep 19 11:05:40 linux Pluto[1978]: loaded cacert file 'cacert.pem' (1582 bytes)

Sep 19 11:05:40 linux Pluto[1978]: Changing to directory '/etc/ipsec.d/crls'

Sep 19 11:05:40 linux Pluto[1978]: loaded crl file 'crl.pem' (674 bytes)

Sep 19 11:05:40 linux Pluto[1978]: loaded my X.509 cert file '/etc/x509cert.der' (1018 bytes)

Sep 19 11:05:40 linux Pluto[1978]: added connection description "Roadwarrior"

Sep 19 11:05:40 linux Pluto[1978]: listening for IKE messages

Sep 19 11:05:40 linux Pluto[1978]: adding interface ipsec0/eth0 172.23.100.145

Sep 19 11:05:40 linux Pluto[1978]: loading secrets from "/etc/ipsec.secrets"

Sep 19 11:05:40 linux Pluto[1978]: loaded private key file '/etc/ipsec.d/private/gwkey.pem' (951 bytes)

Sep 19 11:05:55 linux Pluto[1978]: packet from 172.23.100.121:500: ignoring Vendor ID payload

Sep 19 11:05:55 linux last message repeated 3 times

Sep 19 11:05:55 linux Pluto[1978]: "Roadwarrior" 172.23.100.121 #1: responding to Main Mode from unknown peer 172.23.100.121

Sep 19 11:05:56 linux Pluto[1978]: "Roadwarrior" 172.23.100.121 #1: ignoring informational payload, type IPSEC_INITIAL_CONTACT

Sep 19 11:05:56 linux Pluto[1978]: "Roadwarrior" 172.23.100.121 #1: Peer ID is ID_DER_ASN1_DN: 'C=DE, ST=Bayern, O=MSU, OU=TS, CN=patrick, E=paddyb@gmx.at'

Sep 19 11:05:56 linux Pluto[1978]: "Roadwarrior" 172.23.100.121 #1: multiple ipsec.secrets entries with distinct secrets match endpoints: first secret used

Sep 19 11:05:56 linux Pluto[1978]: "Roadwarrior" 172.23.100.121 #1: deleting connection "Roadwarrior" instance with peer 172.23.100.121

Sep 19 11:05:56 linux Pluto[1978]: "Roadwarrior" 172.23.100.121 #1: multiple ipsec.secrets entries with distinct secrets match endpoints: first secret used

Sep 19 11:05:56 linux Pluto[1978]: "Roadwarrior" 172.23.100.121 #1: sent MR3, ISAKMP SA established

Sep 19 11:05:56 linux Pluto[1978]: "Roadwarrior" 172.23.100.121 #1: Informational Exchange message for an established ISAKMP SA must be encrypted

[dr.disk]

Hast Du die ipsec.secrets angepaßt oder ist das das Beispiel von der original IPSec Konfiguration?

Die ipsec.secret kann man mit dem Tool fkswcert (oder so ähnlich) aus einem x509 Zertifikat erstellen. Kommt Dir das bekannt vor?

[sparstrumpf]

So, Problem weg.

Das Zerifikat aus der ipsec.secrets war falsch.

hab nur noch

:RSA gwkey.pem "passphrase"

drinstehen und es tut ;-)

THX, Dr. Disk

[sparstrumpf]

Nochmals ich :-)

Im Snetinel tut die "Diagnostic"-Funktion jetzt.

Will ich aber den Tunnel aufbauen bekomme ich wieder eine Fehlermeldung:

0.0.0.0:500 (Responder) <-> 172.23.100.145:500 { f33e817d c46fc564 - d7ef4918 9e00002e [-1] / 0x00000000 } IP; Error = Authentication failed (24)

SPD: Can not determine per-rule trusted CA root set for remote identity der_asn1_dn(any:0,[0..134]=C=DE, ST=Bayern, L=Aschaffenburg, O=MSU, OU=TS, CN=rootgw, MAILTO=berlinger@msu.biz). Using only globally trusted roots.

0.0.0.0:500 (Responder) <-> 172.23.100.145:500 { 3f3f38c7 44fa2ebe - 901a31a1 e700002f [-1] / 0x00000000 } IP; No public key found

Phase-1 [responder] between unknown(any:0,[0..0]=) and ipv4(any:0,[0..3]=172.23.100.145) failed; Authentication failed.

sch... spiel!

mfG,

[dr.disk]

Welche Zertifikate hast Du im Sentinel installiert? Woher weiß FreeS/WAN welches Zertifikat Sentinel hat?

Ich selbst lasse mir auch die Sentinel Zertifikate von OpenSSL erstellen. Hast Du ja getan - wenn ich mich richtig dran erinnere - indem Du die p12-Datei importiert hast.

Zusätzlich zu der p12 Datei muß man im Sentinel die rootCA und evtl. den Hostkey von FreeS/WAN einbinden. Sind diese beiden Zertifikate zusätzlich zur p12 drin?

[sparstrumpf]

Ich hab nur das Usercertificat user.pk12 importiert.

Was GENAU muss ich denn noch importieren(siehe meine Befehlsaufrufe oben)?

Und in welchem Format?

[sparstrumpf]

Kann es auch damit zusammenhängen?

http://www.exim.org/pipermail/linux-ipsec/Week-of-Mon-20010521/002558.html

[dr.disk]

Das müßte das cacert.pem als RootCA (Certification Author...) und x509... als Remote-Host. Als Format halt eins das Sentinel kennt, z.B. DER.

Muß aber für heute weg - bis Morgen wieder.