Zum Inhalt springen

Nochmal Freeswan/openssl/SSH sentinel


Empfohlene Beiträge

Geschrieben

Tja, nochmal selbe Baustelle, anderer Fehler :(,

Ich habe mitlerweile das ganze soweit am laufen(Diagnoselauf im Sentinel

funzt)

aber sobald ich die Verbindung aufbauen möchte scheitert das ganze:

# /etc/ipsec.conf - FreeS/WAN IPsec configuration file

# More elaborate and more varied sample configurations can be found

# in FreeS/WAN's doc/examples file, and in the HTML documentation.

# basic configuration

config setup

interfaces=%defaultroute

klipsdebug=none

plutodebug=none

plutoload=%search

plutostart=%search

#uniqueids=yes

conn %default

keyingtries=0

authby=rsasig

leftrsasigkey=%cert

rightrsasigkey=%cert

left=172.23.100.145

leftsubnet=172.24.100.0/24

leftnexthop=172.23.100.254

leftid="C=DE, ST=Bayern L=Aschaffenburg, O=MSU, OU=TS, CN=gwca ,

Email=root@localhost.de"

conn Roadwarrior

right=%any

type=tunnel

keyexchange=ike

pfs=yes

auto=add

less /etc/ipsec.secrets

: RSA gwkey.pem "ipsec"

Befehlesabfolge beim erstellen:

openssl genrsa -des3 -out private/cakey.pem 2048 --> ipsec

openssl req -new -x509 -days 1825 -key private/cakey.pem -out cacert.pem

DE/Bayern/Aschaffenburg/MSU/TS/rootca/root@localhost.de

openssl x509 -in cacert.pem -noout -text

cp -p cacert.pem /etc/ipsec.d/cacerts/

openssl genrsa -des3 -out private/gwkey.pem 1024 -->ipsec

openssl req -new -key private/gwkey.pem -out gwreq.pem

DE/Bayern/Aschaffenburg/MSU/TS/rootca/root@localhost.de

openssl ca -notext -in gwreq.pem -out gwcert.pem

openssl x509 -in gwcert.pem -outform der -out /etc/x509cert.der

cp -p gwcert.pem /etc/ipsec.d/private/

cp private/gwkey.pem /etc/ipsec.d/private/

openssl genrsa -des3 -out private/userkey.pem 1024 --> ipsec

openssl req -new -key private/userkey.pem -out userreq.pem

DE/Bayern/Aschaffenburg/MSU/TS/user/paddyb@gmx.at

openssl ca -notext -enddate 0209301200Z -in userreq.pem -out usercert.pem

openssl pkcs12 -export -in usercert.pem -inkey private/userkey.pem -certfile

cacert.pem -out user.p12

openssl ca -gencrl -out crl/crl.pem

cp -p crl/crl.pem /etc/ipsec.d/crls/

Output:

intern:~ # tail -f /var/log/messages

Sep 26 13:19:59 intern Pluto[1479]: Changing to directory

'/etc/ipsec.d/cacerts'

Sep 26 13:19:59 intern Pluto[1479]: loaded cacert file 'cacert.pem' (1623

bytes)

Sep 26 13:19:59 intern Pluto[1479]: Changing to directory

'/etc/ipsec.d/crls'

Sep 26 13:19:59 intern Pluto[1479]: loaded crl file 'crl.pem' (686 bytes)

Sep 26 13:19:59 intern Pluto[1479]: loaded my X.509 cert file

'/etc/x509cert.der' (1044 bytes)

Sep 26 13:19:59 intern Pluto[1479]: added connection description

"Roadwarrior"

Sep 26 13:19:59 intern Pluto[1479]: listening for IKE messages

Sep 26 13:19:59 intern Pluto[1479]: adding interface ipsec0/eth0

172.23.100.145

Sep 26 13:19:59 intern Pluto[1479]: loading secrets from

"/etc/ipsec.secrets"

Sep 26 13:19:59 intern Pluto[1479]: loaded private key file

'/etc/ipsec.d/private/gwkey.pem' (963 bytes)

Sep 26 13:20:22 intern Pluto[1479]: packet from 172.23.100.121:500: ignoring

Vendor ID payload

Sep 26 13:20:22 intern Pluto[1479]: "Roadwarrior" 172.23.100.121 #1:

responding to Main Mode from unknown peer 172.23.100.121

Sep 26 13:20:23 intern Pluto[1479]: "Roadwarrior" 172.23.100.121 #1:

ignoring informational payload, type IPSEC_INITIAL_CONTACT

Sep 26 13:20:23 intern Pluto[1479]: "Roadwarrior" 172.23.100.121 #1: Peer ID

is ID_DER_ASN1_DN: 'C=DE, ST=Bayern, O=MSU, OU=TS, CN=user, E=paddyb@gmx.at'

Sep 26 13:20:23 intern Pluto[1479]: "Roadwarrior" 172.23.100.121 #1:

deleting connection "Roadwarrior" instance with peer 172.23.100.121

Sep 26 13:20:23 intern Pluto[1479]: "Roadwarrior" 172.23.100.121 #1: sent

MR3, ISAKMP SA established

Sep 26 13:20:24 intern Pluto[1479]: "Roadwarrior" 172.23.100.121 #1:

Informational Exchange message for an established ISAKMP SA must be encrypted

Output des Sentinel:

0.0.0.0:500 (Initiator) <-> 172.23.100.145:500 { a2c16384 13000008 -

70f8a13f 30dc5c4e [-1] / 0x00000000 } IP; Warning, junk after packet len = 160,

decoded = 157

SPD: Can not determine per-rule trusted CA root set for remote identity

der_asn1_dn(any:0,[0..132]=C=DE, ST=Bayern L\=Aschaffenburg, O=MSU, OU=TS,

CN=gwca, MAILTO=root@localhost.de). Using only globally trusted roots.

0.0.0.0:500 (Initiator) <-> 172.23.100.145:500 { a2c16384 13000008 -

70f8a13f 30dc5c4e [-1] / 0x00000000 } IP; No public key found

Phase-1 [initiator] between der_asn1_dn(udp:500,[0..103]=C=DE, ST=Bayern,

O=MSU, OU=TS, CN=user, MAILTO=paddyb@gmx.at) and

ipv4(udp:500,[0..3]=172.23.100.145) failed; Authentication failed.

0.0.0.0:500 (Initiator) <-> 172.23.100.145:500 { a2c16384 13000008 -

70f8a13f 30dc5c4e [-1] / 0x00000000 } IP; Error = Authentication failed (24)

Ich hoffe, das Ihr mir helfen könnt(wollt).

Geschrieben

Da bin ich wieder! :P War lange nicht mehr im Forum...

Also wenn ich das richtig sehe kennt Sentinel nicht alle Zertifikate. Hast Du im Sentintel neben der p12-Datei auch die RootCA und den Remote-Key, also den Schlüssel von FreeS/WAN installiert? Scheint nicht der Fall zu sein...

Der öffentliche Schlüssel von FreeS/WAN liegt bei Dir in der x509cert.der (Remote Host) und die RootCA liegt in der cacert.pem (Certification Authorities).

Anmerkung: die Diagnose prüft nur, ob auf der anderen Seite ein IKE-Server rangeht. Der eigentliche Verbindungsaufbau kommt einen Schritt später.

Geschrieben

Dann fehlt noch die Certification Authority (CA). Das ist dir cacert.pem - die einfach unter selbigen Punkt ebenfalls importieren und das war's.

Im Fehlerlog siehst Du, das Sentinel die CA des Zertifikates nicht kennt (und das mag er gar nicht).

Geschrieben

Was mich stört ist folgende Fehlermeldung von Sentinel:

SPD: Can not determine per-rule trusted CA root set for remote identity

der_asn1_dn(any:0,[0..132]=C=DE, ST=Bayern L\=Aschaffenburg, O=MSU, OU=TS,

CN=gwca, MAILTO=root@localhost.de). Using only globally trusted roots.

Prüfe nochmals, daß bei der richtigen Policy (sofern Du mehrere hast) im Key-Managment die RootCA, der x509...-Schlüssel von FreeS/WAN und die p12-Datei importiert bzw. hinzugefügt sind.

Desweiteren prüfe bei Deinen VPN-Einstellungen, daß Du auch das richtige Zertifikat und nicht das von Sentinel erstellte nimmst.

Geschrieben

Mahlzeit,

ich gehe jetzt einfach mal der Annahme, daß die MSU-Zertfikate von von Sentinel erstellt wurden und die ipsec-Zertifikate mit openssl.

Bei Remote-Hosts sollte nur ein Zertifikat drin stehen, eben der öffentliche Schlüssel der Linux-Kiste (der aus x509...)

Bei den Certification Authorites sollten zwei Zertifikate drinstehen: das von Sentinel und das von openssl erstellte.

Bei den 'my Keys' mußt Du die p12 importieren. Ich gehe mal der Annahme, daß das ipsectestpab importiert wurde. Dann würde auf Deinem zweiten Screenshot das Zertifikat nicht stimmen. Hier mußt Du das mit OpenSSL erstellte Zertifikat eintragen.

Steht das alles so bei Dir (sinngemäß) drin? Wenn ja könnte es noch an den Schlüssel liegen.

Geschrieben

Hallo,

trusted

MSU CA = hat er selbst importiert(zusammen mit dem user.p12 file)

ipsectestpab = selbsterstelltes zertifikat bei der sentinelinstallation

MSU CA = cacert.pem

gateway.msu.biz = x509cert.der

hostkeys

msu ca certificate = user.p12

ipsectestpab cert = selbsterstelltes zertifikat bei der sentinelinstallation

ipsectest = stammt aus der Presharedkey verwendung

Geschrieben

Das sieht eigentlich soweit ganz gut aus. Mit den PSK hat's funktioniert, oder? Dann bleiben noch die Zertifikate übrig.

Ich such mal in meinem Leitz-Ordner die Anleitung mit der ich meine Zertifikate erstellt habe...

Ah, ja. Da hab ich Sie: http://www.natecarlson.com/include/showpage.php?cat=linux&page=ipsec-x509#casetup

Huh, da gibt's ne neuere Version wie die die ich damals hatte. Meine hatte ein paar kleine Fehler, die sollten jetzt aber wohl behoben sein. Da Du Sentinel hast brauchst Du ebootis nicht. Für Dich ist also nur der Teil mit der Zertifikaterstellung interessant.

Probier's mal damit.,

  • 4 Jahre später...

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...