Problem mit FreeS/WAN IPSec

[Computerfuzzi]

Auch ich brauche Hilfe mit FreeS/Wan IPSec 1.98b mit X509 Patch v 0.9.15.

Es ist soweit alles installiert, doch wenn ich eine Verbindung herstellen möchte (Roadwarrior Win98 mit Microsoft L2TP/IPSec VPN Client), dann sagt mir Pluto folgendes:

Oct 8 11:01:50 istanbul pluto[8686]: packet from 145.254.249.167:500: ignoring Vendor ID payload

Oct 8 11:01:50 istanbul last message repeated 2 times

Oct 8 11:01:50 istanbul pluto[8686]: "Roadwarrior"[3] 145.254.249.167 #3: responding to Main Mode from unknown peer 145.254.249.167

Oct 8 11:01:50 istanbul pluto[8686]: "Roadwarrior"[3] 145.254.249.167 #3: ignoring Vendor ID payload

Oct 8 11:01:50 istanbul last message repeated 3 times

Oct 8 11:01:51 istanbul pluto[8686]: "Roadwarrior"[3] 145.254.249.167 #3: ignoring informational payload, type IPSEC_INITIAL_CONTACT

Oct 8 11:01:51 istanbul pluto[8686]: "Roadwarrior"[3] 145.254.249.167 #3: Peer ID is ID_DER_ASN1_DN: 'C=DE, O=Meine Firma

, CN=Florian Viertel, E=florian.viertel@MeineFirma.de'

Oct 8 11:01:51 istanbul pluto[8686]: "Roadwarrior"[4] 145.254.249.167 #3: deleting connection "Roadwarrior" instance with pee

r 145.254.249.167

Oct 8 11:01:51 istanbul pluto[8686]: "Roadwarrior"[4] 145.254.249.167 #3: sent MR3, ISAKMP SA established

Oct 8 11:01:51 istanbul pluto[8686]: "Roadwarrior"[4] 145.254.249.167 #3: cannot respond to IPsec SA request because no connection is known for a.b.c.d[C=DE, O=Meine Firma, CN=Root CA, E=webmaster@MeineFirma.de]:17/1701...145.254.249.167[C=D

E, O=Meine Firma, CN=Florian Viertel, E=florian.viertel@MeineFirma.de]:17/1701

Oct 8 11:01:57 istanbul pluto[8686]: "Roadwarrior"[4] 145.254.249.167 #3: Quick Mode I1 message is unacceptable because it us

es a previously used Message ID 0xb0b1367c (perhaps this is a duplicated packet)

Die entsprechenden Zertifikate sind auf dem Roadwarrior importiert.

Auf dem Security Gateway läuft auch eine Firewall (IPTables), aber die Ports (50, 51, 500) sind freigegeben. Die Topologie sieht also aus wie folgt (Sorry, sieht blöd aus, aber das verschiebt sich irgendwie dauernd und ich weiss nicht wieso. Man kann hoffentlich trotzdem erkennen, was gemeint ist):

           Subnet 192.168.0.0/24


            DHCP                 Samba	

   192.168.0.110     192.168.0.120

                     \             /

                      \           /

                       \         /

                        \       /

                         \     /

                          \   /

                           \ /

                            |

                            |

                         eth1

                192.168.0.105


         Firewall, Security Gateway


                   eth0, ipsec0

                       a.b.c.d

                            |

                            |

         DSL-Router m. statischer IP

                       a.b.c.e

                            |

                            |


                      Internet


                            |

                            |

                   Roadwarrior

              m. dynamischer IP

Wie muss hier jetzt meine ipsec.conf aussehen, damit sich ein Roadwarrior am Samba-Server (simuliert eine NT-Dömane) anmelden kann? Und wie sieht das mit mit dem IPSec-Masquerading aus. Muss es aktiviert werden oder nicht?

Ich bin für jede Hilfe dankbar, da ich langsam echt nicht mehr weiss, was ich machen soll.

Computerfuzzi

[dr.disk]

Oct 8 11:01:51 istanbul pluto[8686]: "Roadwarrior"[4] 145.254.249.167 #3: cannot respond to IPsec SA request because no connection is known for a.b.c.d[C=DE, O=Meine Firma, CN=Root CA, *snip*

In der Zeile steht's, Deine ipsec.conf ist fehlerhaft bzw. nicht richtig.

[Computerfuzzi]

Ja, davon bin ich auch ausgegangen, deshalb hab ich ja gefragt, wie meine ipsec.conf aussehen muss, damit es funktioniert. Ich hab da verschiedene Möglichkeiten ausprobiert, die ich im Netz gefunden habe, aber es hat nichts genutzt.

Computerfuzzi

[dr.disk]

Drehn wir die Frage um - ich hab leider keine Zeit eine neue Konfig zu erstellen: wie sieht den deine Konfig aus? Ein Fehler sucht sich schneller...

[Computerfuzzi]

Also grad steht nur das hier drin, aber ich änder es halt gerade die ganze Zeit um:

# basic configuration

config setup

interfaces=%defaultroute

klipsdebug=none

plutodebug=none

plutoload=%search

plutostart=%search

# defaults that apply to all connection descriptions

conn %default

authby=rsasig

leftrsasigkey=%cert

rightrsasigkey=%cert

left=%defaultroute

leftsubnet=192.168.0.0/24

leftid="C=DE, O=MeineFirma, CN=Root CA, E=webmaster@MeineFirma.de"

# Connection Roadwarrior

conn Roadwarrior

right=%any

type=tunnel

keyexchange=ike

pfs=yes

auto=add

keyingtries=1

[sparstrumpf]

folgendes solltest du unter "conn Roadwarrior" ergänzen

rightid="C=DE, O=Meine Firma, CN=Root CA, E=webmaster@MeineFirma.de"

rightcert=meinefirma.pem

[Computerfuzzi]

Danke erstmal für die Hilfe bis jetzt.

Ich hab, um sicherzugehen, dass es daradn nicht liegt, alle Zertifikate neu erstellt und die nötigen unter Windows importiert.

Meine ipsec.conf sieht jetzt aus wie folgt:

config setup

interfaces=%defaultroute

klipsdebug=none

plutodebug=none

plutoload=%search

plutostart=%search

uniqueids=yes

conn %default

authby=rsasig

rightrsasigkey=%cert

left=%defaultroute

leftid="C=DE, ST=BW, L=Heilbronn O=DPWF, OU=meineFirma, CN=server.meineFirma.de, E=root@localhost.de

leftcert=gwkey.pem

auto=add

conn Roadwarrior

leftsubnet=192.168.0.0/24

right=%any

leftid="C=DE, ST=BW, L=Heilbronn, O=DPWF, OU=meineFirma, CN=server.meineFirma.de, E=root@localhost.de

rightcert=gwkey.pem

rightsubnet=0.0.0.0/0

Ein ipsec auto --status ergibt nach einem Neustart von ipsec folgendes:

000 interface ipsec0/eth0 a.b.c.d

000

000 "Roadwarrior": 192.168.0.0/24===a.b.c.d[C=DE, ST=BW, L=Heilbronn, O=DPWF, OU=meineFirma, CN=server.meineFirma.de, E=root@localhost.de]---a.b.c.e...%any===0.0.0.0/0

000 "Roadwarrior": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 3

000 "Roadwarrior": policy: RSASIG+ENCRYPT+TUNNEL+PFS+DISABLEARRIVALCHECK; interface: eth0; unrouted

000 "Roadwarrior": newest ISAKMP SA: #0; newest IPsec SA: #0; eroute owner: #0

000

000

Nach einem Verbindungsversuch, der mit derselben Fehlermeldung abgebrochen wird wie immer, ergibt sich dann folgende Ausgabe:

000 interface ipsec0/eth0 a.b.c.d

000

000 "Roadwarrior"[2]: 192.168.0.0/24===a.b.c.d[C=DE, ST=BW, L=Heilbronn, O=DPWF, OU=meineFirma, CN=server.meineFirma.de, E=root@localhost.de]---a.b.c.e...145.254.250.19[C=DE, ST=BW, O=DPWF, OU=meineFirma, CN=fviertel, E=florian.viertel@meineFirma.de]===0.0.0.0/0

000 "Roadwarrior"[2]: ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries:

3

000 "Roadwarrior"[2]: policy: RSASIG+ENCRYPT+TUNNEL+PFS+DISABLEARRIVALCHECK; interface: eth0; unrouted

000 "Roadwarrior"[2]: newest ISAKMP SA: #1; newest IPsec SA: #0; eroute owner: #0

000 "Roadwarrior": 192.168.0.0/24===a.b.c.d[C=DE, ST=BW, L=Heilbronn, O=DPWF, OU=meineFirma, CN=server.meineFirma.de, E=root@localhost.de]---a.b.c.e...%any===0.0.0.0/0

000 "Roadwarrior": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 3

000 "Roadwarrior": policy: RSASIG+ENCRYPT+TUNNEL+PFS+DISABLEARRIVALCHECK; interface: eth0; unrouted

000 "Roadwarrior": newest ISAKMP SA: #0; newest IPsec SA: #0; eroute owner: #0

000

000 #1: "Roadwarrior"[2] 145.254.250.19 STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 32

93s; newest ISAKMP

000

Noch irgendwelche Vorschläge?? Bin langsam extrem ratlos.

Computerfuzzi

[Computerfuzzi]

Ok, ich bin jetzt ein Stück weiter. Offentsichtlich arbeitet FreeS/WAN nicht mit dem MS L2TP/IPSec Client zusammen. Jetzt hab ich mal SSH Sentinel installiert.

Allerdings geht es immer noch nicht. Pluot gibt folgendes aus:

Oct 9 17:14:24 istanbul pluto[25340]: packet from 145.254.250.144:500: ignoring Vendor ID payload

Oct 9 17:14:24 istanbul pluto[25340]: "Roadwarrior"[4] 145.254.250.144 #17: responding to Main Mode from

unknown peer 145.254.250.144

Oct 9 17:14:25 istanbul pluto[25340]: "Roadwarrior"[4] 145.254.250.144 #17: ignoring informational payloa

d, type IPSEC_INITIAL_CONTACT

Oct 9 17:14:25 istanbul pluto[25340]: "Roadwarrior"[4] 145.254.250.144 #17: Peer ID is ID_DER_ASN1_DN: 'C

=DE, ST=BW, O=DPWF, OU=meineFirma, CN=fviertel, E=florian.viertel@meineFirma.de'

Oct 9 17:14:25 istanbul pluto[25340]: "Roadwarrior"[4] 145.254.250.144 #17: sent MR3, ISAKMP SA establish

ed

Oct 9 17:14:25 istanbul pluto[25340]: "Roadwarrior"[4] 145.254.250.144 #17: Informational Exchange messag

e for an established ISAKMP SA must be encrypted

Es fehlt also die Verschlüsselung, wenn ich das richtig interpretiere. Aber wie kann ich den Fehler beheben?

Computerfuzzi

[Computerfuzzi]

Ach ja, und das ist der Auszug aus der IKE.log:

0.0.0.0:500 (Initiator) <-> a.b.c.d:500 { f52fe5bb 4100000f - 12a5dd44 d72b29f6 [-1] / 0x00000000 } IP; Warning, junk after packet len = 160, decoded = 157

SPD: Can not determine per-rule trusted CA root set for remote identity der_asn1_dn(any:0,[0..144]=C=DE, ST=BW, L=Heilbronn O\=DPWF, OU=meineFirma, CN=mail.meineFirma.de, MAILTO=root@localhost.de). Using only globally trusted roots.

0.0.0.0:500 (Initiator) <-> a.b.c.d:500 { f52fe5bb 4100000f - 12a5dd44 d72b29f6 [-1] / 0x00000000 } IP; No public key found

Phase-1 [initiator] between der_asn1_dn(udp:500,[0..134]=C=DE, ST=BW, O=DPWF, OU=meineFirma, CN=fviertel, MAILTO=florian.viertel@meineFirma.de) and ipv4(udp:500,[0..3]=a.b.c.d) failed; Authentication failed.

0.0.0.0:500 (Initiator) <-> a.b.c.d:500 { f52fe5bb 4100000f - 12a5dd44 d72b29f6 [-1] / 0x00000000 } IP; Error = Authentication failed (24)

Hat wohl irgendwas mit den Zertifikaten zu tun. Aber mit welchem? Ich hab das X509cert.der, das cacert.pem und das fviertel.p12 im Sentinel importiert.

[sparstrumpf]

rightcert=gwkey.pem #das ist doch das GW Certifikat, oder?

Das muss aber das User-Cert sein!