sparstrumpf Geschrieben 26. September 2002 Geschrieben 26. September 2002 Tja, nochmal selbe Baustelle, anderer Fehler , Ich habe mitlerweile das ganze soweit am laufen(Diagnoselauf im Sentinel funzt) aber sobald ich die Verbindung aufbauen möchte scheitert das ganze: # /etc/ipsec.conf - FreeS/WAN IPsec configuration file # More elaborate and more varied sample configurations can be found # in FreeS/WAN's doc/examples file, and in the HTML documentation. # basic configuration config setup interfaces=%defaultroute klipsdebug=none plutodebug=none plutoload=%search plutostart=%search #uniqueids=yes conn %default keyingtries=0 authby=rsasig leftrsasigkey=%cert rightrsasigkey=%cert left=172.23.100.145 leftsubnet=172.24.100.0/24 leftnexthop=172.23.100.254 leftid="C=DE, ST=Bayern L=Aschaffenburg, O=MSU, OU=TS, CN=gwca , Email=root@localhost.de" conn Roadwarrior right=%any type=tunnel keyexchange=ike pfs=yes auto=add less /etc/ipsec.secrets : RSA gwkey.pem "ipsec" Befehlesabfolge beim erstellen: openssl genrsa -des3 -out private/cakey.pem 2048 --> ipsec openssl req -new -x509 -days 1825 -key private/cakey.pem -out cacert.pem DE/Bayern/Aschaffenburg/MSU/TS/rootca/root@localhost.de openssl x509 -in cacert.pem -noout -text cp -p cacert.pem /etc/ipsec.d/cacerts/ openssl genrsa -des3 -out private/gwkey.pem 1024 -->ipsec openssl req -new -key private/gwkey.pem -out gwreq.pem DE/Bayern/Aschaffenburg/MSU/TS/rootca/root@localhost.de openssl ca -notext -in gwreq.pem -out gwcert.pem openssl x509 -in gwcert.pem -outform der -out /etc/x509cert.der cp -p gwcert.pem /etc/ipsec.d/private/ cp private/gwkey.pem /etc/ipsec.d/private/ openssl genrsa -des3 -out private/userkey.pem 1024 --> ipsec openssl req -new -key private/userkey.pem -out userreq.pem DE/Bayern/Aschaffenburg/MSU/TS/user/paddyb@gmx.at openssl ca -notext -enddate 0209301200Z -in userreq.pem -out usercert.pem openssl pkcs12 -export -in usercert.pem -inkey private/userkey.pem -certfile cacert.pem -out user.p12 openssl ca -gencrl -out crl/crl.pem cp -p crl/crl.pem /etc/ipsec.d/crls/ Output: intern:~ # tail -f /var/log/messages Sep 26 13:19:59 intern Pluto[1479]: Changing to directory '/etc/ipsec.d/cacerts' Sep 26 13:19:59 intern Pluto[1479]: loaded cacert file 'cacert.pem' (1623 bytes) Sep 26 13:19:59 intern Pluto[1479]: Changing to directory '/etc/ipsec.d/crls' Sep 26 13:19:59 intern Pluto[1479]: loaded crl file 'crl.pem' (686 bytes) Sep 26 13:19:59 intern Pluto[1479]: loaded my X.509 cert file '/etc/x509cert.der' (1044 bytes) Sep 26 13:19:59 intern Pluto[1479]: added connection description "Roadwarrior" Sep 26 13:19:59 intern Pluto[1479]: listening for IKE messages Sep 26 13:19:59 intern Pluto[1479]: adding interface ipsec0/eth0 172.23.100.145 Sep 26 13:19:59 intern Pluto[1479]: loading secrets from "/etc/ipsec.secrets" Sep 26 13:19:59 intern Pluto[1479]: loaded private key file '/etc/ipsec.d/private/gwkey.pem' (963 bytes) Sep 26 13:20:22 intern Pluto[1479]: packet from 172.23.100.121:500: ignoring Vendor ID payload Sep 26 13:20:22 intern Pluto[1479]: "Roadwarrior" 172.23.100.121 #1: responding to Main Mode from unknown peer 172.23.100.121 Sep 26 13:20:23 intern Pluto[1479]: "Roadwarrior" 172.23.100.121 #1: ignoring informational payload, type IPSEC_INITIAL_CONTACT Sep 26 13:20:23 intern Pluto[1479]: "Roadwarrior" 172.23.100.121 #1: Peer ID is ID_DER_ASN1_DN: 'C=DE, ST=Bayern, O=MSU, OU=TS, CN=user, E=paddyb@gmx.at' Sep 26 13:20:23 intern Pluto[1479]: "Roadwarrior" 172.23.100.121 #1: deleting connection "Roadwarrior" instance with peer 172.23.100.121 Sep 26 13:20:23 intern Pluto[1479]: "Roadwarrior" 172.23.100.121 #1: sent MR3, ISAKMP SA established Sep 26 13:20:24 intern Pluto[1479]: "Roadwarrior" 172.23.100.121 #1: Informational Exchange message for an established ISAKMP SA must be encrypted Output des Sentinel: 0.0.0.0:500 (Initiator) <-> 172.23.100.145:500 { a2c16384 13000008 - 70f8a13f 30dc5c4e [-1] / 0x00000000 } IP; Warning, junk after packet len = 160, decoded = 157 SPD: Can not determine per-rule trusted CA root set for remote identity der_asn1_dn(any:0,[0..132]=C=DE, ST=Bayern L\=Aschaffenburg, O=MSU, OU=TS, CN=gwca, MAILTO=root@localhost.de). Using only globally trusted roots. 0.0.0.0:500 (Initiator) <-> 172.23.100.145:500 { a2c16384 13000008 - 70f8a13f 30dc5c4e [-1] / 0x00000000 } IP; No public key found Phase-1 [initiator] between der_asn1_dn(udp:500,[0..103]=C=DE, ST=Bayern, O=MSU, OU=TS, CN=user, MAILTO=paddyb@gmx.at) and ipv4(udp:500,[0..3]=172.23.100.145) failed; Authentication failed. 0.0.0.0:500 (Initiator) <-> 172.23.100.145:500 { a2c16384 13000008 - 70f8a13f 30dc5c4e [-1] / 0x00000000 } IP; Error = Authentication failed (24) Ich hoffe, das Ihr mir helfen könnt(wollt). Zitieren
sparstrumpf Geschrieben 27. September 2002 Autor Geschrieben 27. September 2002 Auch nicht Dr.Disk? pls.Help Zitieren
dr.disk Geschrieben 30. September 2002 Geschrieben 30. September 2002 Da bin ich wieder! War lange nicht mehr im Forum... Also wenn ich das richtig sehe kennt Sentinel nicht alle Zertifikate. Hast Du im Sentintel neben der p12-Datei auch die RootCA und den Remote-Key, also den Schlüssel von FreeS/WAN installiert? Scheint nicht der Fall zu sein... Der öffentliche Schlüssel von FreeS/WAN liegt bei Dir in der x509cert.der (Remote Host) und die RootCA liegt in der cacert.pem (Certification Authorities). Anmerkung: die Diagnose prüft nur, ob auf der anderen Seite ein IKE-Server rangeht. Der eigentliche Verbindungsaufbau kommt einen Schritt später. Zitieren
sparstrumpf Geschrieben 30. September 2002 Autor Geschrieben 30. September 2002 hmm, das gwcert(x509cert.der in pem form) habe ich unter TrustedCertificates/RemoteHost importiert. Zitieren
dr.disk Geschrieben 30. September 2002 Geschrieben 30. September 2002 Dann fehlt noch die Certification Authority (CA). Das ist dir cacert.pem - die einfach unter selbigen Punkt ebenfalls importieren und das war's. Im Fehlerlog siehst Du, das Sentinel die CA des Zertifikates nicht kennt (und das mag er gar nicht). Zitieren
sparstrumpf Geschrieben 30. September 2002 Autor Geschrieben 30. September 2002 auch zonk, das ist auch schon importiert :-(( Zitieren
dr.disk Geschrieben 30. September 2002 Geschrieben 30. September 2002 Was mich stört ist folgende Fehlermeldung von Sentinel: SPD: Can not determine per-rule trusted CA root set for remote identity der_asn1_dn(any:0,[0..132]=C=DE, ST=Bayern L\=Aschaffenburg, O=MSU, OU=TS, CN=gwca, MAILTO=root@localhost.de). Using only globally trusted roots. Prüfe nochmals, daß bei der richtigen Policy (sofern Du mehrere hast) im Key-Managment die RootCA, der x509...-Schlüssel von FreeS/WAN und die p12-Datei importiert bzw. hinzugefügt sind. Desweiteren prüfe bei Deinen VPN-Einstellungen, daß Du auch das richtige Zertifikat und nicht das von Sentinel erstellte nimmst. Zitieren
dr.disk Geschrieben 30. September 2002 Geschrieben 30. September 2002 Mahlzeit, ich gehe jetzt einfach mal der Annahme, daß die MSU-Zertfikate von von Sentinel erstellt wurden und die ipsec-Zertifikate mit openssl. Bei Remote-Hosts sollte nur ein Zertifikat drin stehen, eben der öffentliche Schlüssel der Linux-Kiste (der aus x509...) Bei den Certification Authorites sollten zwei Zertifikate drinstehen: das von Sentinel und das von openssl erstellte. Bei den 'my Keys' mußt Du die p12 importieren. Ich gehe mal der Annahme, daß das ipsectestpab importiert wurde. Dann würde auf Deinem zweiten Screenshot das Zertifikat nicht stimmen. Hier mußt Du das mit OpenSSL erstellte Zertifikat eintragen. Steht das alles so bei Dir (sinngemäß) drin? Wenn ja könnte es noch an den Schlüssel liegen. Zitieren
sparstrumpf Geschrieben 30. September 2002 Autor Geschrieben 30. September 2002 Hallo, trusted MSU CA = hat er selbst importiert(zusammen mit dem user.p12 file) ipsectestpab = selbsterstelltes zertifikat bei der sentinelinstallation MSU CA = cacert.pem gateway.msu.biz = x509cert.der hostkeys msu ca certificate = user.p12 ipsectestpab cert = selbsterstelltes zertifikat bei der sentinelinstallation ipsectest = stammt aus der Presharedkey verwendung Zitieren
dr.disk Geschrieben 30. September 2002 Geschrieben 30. September 2002 Das sieht eigentlich soweit ganz gut aus. Mit den PSK hat's funktioniert, oder? Dann bleiben noch die Zertifikate übrig. Ich such mal in meinem Leitz-Ordner die Anleitung mit der ich meine Zertifikate erstellt habe... Ah, ja. Da hab ich Sie: http://www.natecarlson.com/include/showpage.php?cat=linux&page=ipsec-x509#casetup Huh, da gibt's ne neuere Version wie die die ich damals hatte. Meine hatte ein paar kleine Fehler, die sollten jetzt aber wohl behoben sein. Da Du Sentinel hast brauchst Du ebootis nicht. Für Dich ist also nur der Teil mit der Zertifikaterstellung interessant. Probier's mal damit., Zitieren
EdwinMosesPray Geschrieben 25. April 2007 Geschrieben 25. April 2007 left=172.23.100.145 leftsubnet=172.24.100.0/24 leftnexthop=172.23.100.254 Müsste das nicht leftsubnet=172.23.100.0/24 heissen ?? Zitieren
dr.disk Geschrieben 26. April 2007 Geschrieben 26. April 2007 Ich glaube, dass hat sich sowieso erledigt. Dieser Beitrag ist vom 26.09.2002, also schon fast 5 Jahre her. Dazu kommt noch, dass es den SSH Sentinel Client auch gar nicht mehr gibt. Zitieren
EdwinMosesPray Geschrieben 26. April 2007 Geschrieben 26. April 2007 öööhmmm ääähhhhh Stimmt... 2002 I, Robot äähm I, Blindfisch :hells: Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.