Nochmal Freeswan/openssl/SSH sentinel

[sparstrumpf]

Tja, nochmal selbe Baustelle, anderer Fehler ,

Ich habe mitlerweile das ganze soweit am laufen(Diagnoselauf im Sentinel

funzt)

aber sobald ich die Verbindung aufbauen möchte scheitert das ganze:

# /etc/ipsec.conf - FreeS/WAN IPsec configuration file

# More elaborate and more varied sample configurations can be found

# in FreeS/WAN's doc/examples file, and in the HTML documentation.

# basic configuration

config setup

interfaces=%defaultroute

klipsdebug=none

plutodebug=none

plutoload=%search

plutostart=%search

#uniqueids=yes

conn %default

keyingtries=0

authby=rsasig

leftrsasigkey=%cert

rightrsasigkey=%cert

left=172.23.100.145

leftsubnet=172.24.100.0/24

leftnexthop=172.23.100.254

leftid="C=DE, ST=Bayern L=Aschaffenburg, O=MSU, OU=TS, CN=gwca ,

Email=root@localhost.de"

conn Roadwarrior

right=%any

type=tunnel

keyexchange=ike

pfs=yes

auto=add

less /etc/ipsec.secrets

: RSA gwkey.pem "ipsec"

Befehlesabfolge beim erstellen:

openssl genrsa -des3 -out private/cakey.pem 2048 --> ipsec

openssl req -new -x509 -days 1825 -key private/cakey.pem -out cacert.pem

DE/Bayern/Aschaffenburg/MSU/TS/rootca/root@localhost.de

openssl x509 -in cacert.pem -noout -text

cp -p cacert.pem /etc/ipsec.d/cacerts/

openssl genrsa -des3 -out private/gwkey.pem 1024 -->ipsec

openssl req -new -key private/gwkey.pem -out gwreq.pem

DE/Bayern/Aschaffenburg/MSU/TS/rootca/root@localhost.de

openssl ca -notext -in gwreq.pem -out gwcert.pem

openssl x509 -in gwcert.pem -outform der -out /etc/x509cert.der

cp -p gwcert.pem /etc/ipsec.d/private/

cp private/gwkey.pem /etc/ipsec.d/private/

openssl genrsa -des3 -out private/userkey.pem 1024 --> ipsec

openssl req -new -key private/userkey.pem -out userreq.pem

DE/Bayern/Aschaffenburg/MSU/TS/user/paddyb@gmx.at

openssl ca -notext -enddate 0209301200Z -in userreq.pem -out usercert.pem

openssl pkcs12 -export -in usercert.pem -inkey private/userkey.pem -certfile

cacert.pem -out user.p12

openssl ca -gencrl -out crl/crl.pem

cp -p crl/crl.pem /etc/ipsec.d/crls/

Output:

intern:~ # tail -f /var/log/messages

Sep 26 13:19:59 intern Pluto[1479]: Changing to directory

'/etc/ipsec.d/cacerts'

Sep 26 13:19:59 intern Pluto[1479]: loaded cacert file 'cacert.pem' (1623

bytes)

Sep 26 13:19:59 intern Pluto[1479]: Changing to directory

'/etc/ipsec.d/crls'

Sep 26 13:19:59 intern Pluto[1479]: loaded crl file 'crl.pem' (686 bytes)

Sep 26 13:19:59 intern Pluto[1479]: loaded my X.509 cert file

'/etc/x509cert.der' (1044 bytes)

Sep 26 13:19:59 intern Pluto[1479]: added connection description

"Roadwarrior"

Sep 26 13:19:59 intern Pluto[1479]: listening for IKE messages

Sep 26 13:19:59 intern Pluto[1479]: adding interface ipsec0/eth0

172.23.100.145

Sep 26 13:19:59 intern Pluto[1479]: loading secrets from

"/etc/ipsec.secrets"

Sep 26 13:19:59 intern Pluto[1479]: loaded private key file

'/etc/ipsec.d/private/gwkey.pem' (963 bytes)

Sep 26 13:20:22 intern Pluto[1479]: packet from 172.23.100.121:500: ignoring

Vendor ID payload

Sep 26 13:20:22 intern Pluto[1479]: "Roadwarrior" 172.23.100.121 #1:

responding to Main Mode from unknown peer 172.23.100.121

Sep 26 13:20:23 intern Pluto[1479]: "Roadwarrior" 172.23.100.121 #1:

ignoring informational payload, type IPSEC_INITIAL_CONTACT

Sep 26 13:20:23 intern Pluto[1479]: "Roadwarrior" 172.23.100.121 #1: Peer ID

is ID_DER_ASN1_DN: 'C=DE, ST=Bayern, O=MSU, OU=TS, CN=user, E=paddyb@gmx.at'

Sep 26 13:20:23 intern Pluto[1479]: "Roadwarrior" 172.23.100.121 #1:

deleting connection "Roadwarrior" instance with peer 172.23.100.121

Sep 26 13:20:23 intern Pluto[1479]: "Roadwarrior" 172.23.100.121 #1: sent

MR3, ISAKMP SA established

Sep 26 13:20:24 intern Pluto[1479]: "Roadwarrior" 172.23.100.121 #1:

Informational Exchange message for an established ISAKMP SA must be encrypted

Output des Sentinel:

0.0.0.0:500 (Initiator) <-> 172.23.100.145:500 { a2c16384 13000008 -

70f8a13f 30dc5c4e [-1] / 0x00000000 } IP; Warning, junk after packet len = 160,

decoded = 157

SPD: Can not determine per-rule trusted CA root set for remote identity

der_asn1_dn(any:0,[0..132]=C=DE, ST=Bayern L\=Aschaffenburg, O=MSU, OU=TS,

CN=gwca, MAILTO=root@localhost.de). Using only globally trusted roots.

0.0.0.0:500 (Initiator) <-> 172.23.100.145:500 { a2c16384 13000008 -

70f8a13f 30dc5c4e [-1] / 0x00000000 } IP; No public key found

Phase-1 [initiator] between der_asn1_dn(udp:500,[0..103]=C=DE, ST=Bayern,

O=MSU, OU=TS, CN=user, MAILTO=paddyb@gmx.at) and

ipv4(udp:500,[0..3]=172.23.100.145) failed; Authentication failed.

0.0.0.0:500 (Initiator) <-> 172.23.100.145:500 { a2c16384 13000008 -

70f8a13f 30dc5c4e [-1] / 0x00000000 } IP; Error = Authentication failed (24)

Ich hoffe, das Ihr mir helfen könnt(wollt).

[sparstrumpf]

Auch nicht Dr.Disk?

pls.Help

[dr.disk]

Da bin ich wieder! War lange nicht mehr im Forum...

Also wenn ich das richtig sehe kennt Sentinel nicht alle Zertifikate. Hast Du im Sentintel neben der p12-Datei auch die RootCA und den Remote-Key, also den Schlüssel von FreeS/WAN installiert? Scheint nicht der Fall zu sein...

Der öffentliche Schlüssel von FreeS/WAN liegt bei Dir in der x509cert.der (Remote Host) und die RootCA liegt in der cacert.pem (Certification Authorities).

Anmerkung: die Diagnose prüft nur, ob auf der anderen Seite ein IKE-Server rangeht. Der eigentliche Verbindungsaufbau kommt einen Schritt später.

[sparstrumpf]

hmm, das gwcert(x509cert.der in pem form) habe ich unter TrustedCertificates/RemoteHost importiert.

[dr.disk]

Dann fehlt noch die Certification Authority (CA). Das ist dir cacert.pem - die einfach unter selbigen Punkt ebenfalls importieren und das war's.

Im Fehlerlog siehst Du, das Sentinel die CA des Zertifikates nicht kennt (und das mag er gar nicht).

[sparstrumpf]

auch zonk, das ist auch schon importiert :-((

[dr.disk]

Was mich stört ist folgende Fehlermeldung von Sentinel:

SPD: Can not determine per-rule trusted CA root set for remote identity

der_asn1_dn(any:0,[0..132]=C=DE, ST=Bayern L\=Aschaffenburg, O=MSU, OU=TS,

CN=gwca, MAILTO=root@localhost.de). Using only globally trusted roots.

Prüfe nochmals, daß bei der richtigen Policy (sofern Du mehrere hast) im Key-Managment die RootCA, der x509...-Schlüssel von FreeS/WAN und die p12-Datei importiert bzw. hinzugefügt sind.

Desweiteren prüfe bei Deinen VPN-Einstellungen, daß Du auch das richtige Zertifikat und nicht das von Sentinel erstellte nimmst.

[dr.disk]

Mahlzeit,

ich gehe jetzt einfach mal der Annahme, daß die MSU-Zertfikate von von Sentinel erstellt wurden und die ipsec-Zertifikate mit openssl.

Bei Remote-Hosts sollte nur ein Zertifikat drin stehen, eben der öffentliche Schlüssel der Linux-Kiste (der aus x509...)

Bei den Certification Authorites sollten zwei Zertifikate drinstehen: das von Sentinel und das von openssl erstellte.

Bei den 'my Keys' mußt Du die p12 importieren. Ich gehe mal der Annahme, daß das ipsectestpab importiert wurde. Dann würde auf Deinem zweiten Screenshot das Zertifikat nicht stimmen. Hier mußt Du das mit OpenSSL erstellte Zertifikat eintragen.

Steht das alles so bei Dir (sinngemäß) drin? Wenn ja könnte es noch an den Schlüssel liegen.

[sparstrumpf]

Hallo,

trusted

MSU CA = hat er selbst importiert(zusammen mit dem user.p12 file)

ipsectestpab = selbsterstelltes zertifikat bei der sentinelinstallation

MSU CA = cacert.pem

gateway.msu.biz = x509cert.der

hostkeys

msu ca certificate = user.p12

ipsectestpab cert = selbsterstelltes zertifikat bei der sentinelinstallation

ipsectest = stammt aus der Presharedkey verwendung

[dr.disk]

Das sieht eigentlich soweit ganz gut aus. Mit den PSK hat's funktioniert, oder? Dann bleiben noch die Zertifikate übrig.

Ich such mal in meinem Leitz-Ordner die Anleitung mit der ich meine Zertifikate erstellt habe...

Ah, ja. Da hab ich Sie: http://www.natecarlson.com/include/showpage.php?cat=linux&page=ipsec-x509#casetup

Huh, da gibt's ne neuere Version wie die die ich damals hatte. Meine hatte ein paar kleine Fehler, die sollten jetzt aber wohl behoben sein. Da Du Sentinel hast brauchst Du ebootis nicht. Für Dich ist also nur der Teil mit der Zertifikaterstellung interessant.

Probier's mal damit.,

[EdwinMosesPray]

left=172.23.100.145

leftsubnet=172.24.100.0/24

leftnexthop=172.23.100.254

Müsste das nicht leftsubnet=172.23.100.0/24 heissen ??

[dr.disk]

Ich glaube, dass hat sich sowieso erledigt. Dieser Beitrag ist vom 26.09.2002, also schon fast 5 Jahre her. Dazu kommt noch, dass es den SSH Sentinel Client auch gar nicht mehr gibt.

[EdwinMosesPray]

öööhmmm ääähhhhh

Stimmt... 2002

I, Robot äähm I, Blindfisch :hells: