efkay Geschrieben 13. März 2003 Teilen Geschrieben 13. März 2003 Hallo Leute versuche gerade eine VPN Verbindung zwischen zwei dynamischen IP Adressen aufzubauen CLient= PGPNet 7.03 Server = Freeswan 1.91 (SuSE 7.3) Habe die Konfiguration nach einem Beispiel erstellt. --- > http://www.unixer.de/~htor/stud/vpn/doc/FreeSWAN-PGPnet-praktische_Anleitung/ Hier meine ipsec.conf: config setup interfaces="ipsec0=ppp0" klipsdebug=none plutodebug=none plutoload=%search plutostart=%search uniqueids=yes conn %default keyingtries=0 authby=rsasig conn sample-conn # Left security gateway, subnet behind it, next hop toward right. left=xxx.dyndns.org leftsubnet=192.168.50.0/24 leftid=@#155D7C7618BABDD70C2DEB09969F020C leftrsasigkey=0x01119ed8dbf716831dab7197ad39e88cf11cf9ed827c60151f8bd4371a923bdd9760e9ade85e99f1b6b7924a6cbc585bf2526977c74ebba05ba1097ec7c87f72dca4bb4d03015d204fde7c54417d65b341147e4683dd57d40203646e3690f771723fbbab2195963829d61aab29457427b76e5e390efe15e46f1458c3a632ef4ca9d7 # Right security gateway, subnet behind it, next hop toward left. right=%any rightid=@#FD92A4E048D028D5C7E20F78B7506BEF rightrsasigkey=0x0111e042adaa38b0d7ac3573279751ca4d3f1fcc5028650035cfe7e374e9dbb2e2044095e98a8db939a79bf6fdec129e1fd3867361e25aaebdda6f71a8c1425452be5ec9c3207e163bbba037df52651380c91feb5f0f73f0ca00c2cef4672a198b50d8fee60cacbad007a3ffabfc88aff12fd4f689457f3c4fb6a183fb4fc7fe2743 auto=add >Ich habe die RSA key`s erstellt auf pgpnet 6.5.1 und import in pgpnet 7.03 wegen >der VPN funktionalität. >Verbindung eingerichtet in PGPNet und wenn ich dann eine Verbindung aufmache >und ich schau dann in die Logs von PGPNET kommt nur: Authenticated Key ID 0xEF4CA9D7 IKE SA Created Response Timeout Unable to establish Security Association IKE SA DIED >Dann die Advanced Logs von PGPNet: SARequest: xxx.xxx.xxx.xxx (0.0.0.0/0.0.0.0) New Identity Exchange - Initiator Initiating Phase 1 Keying Send: SA/Vendor/SENT Rcvd: exchange=Identity, firstPayload=SA, port=500 Payloads:SA/Vendor/ Proposal Selected (I): RSA Sig, TripleDES Detected PGPikeV2 Send: KE/Nonce/SENT Rcvd: exchange=Identity, firstPayload=KE, port=500 Payloads:KE/Nonce/ Send: (E):Ident/Cert/Sig/CertReq/Notify/SENT Rcvd: (E):exchange=Identity, firstPayload=Ident, port=500 Payloads:Ident/Cert/Sig/ Remote ID(P1): KeyID ALERT(L): xxx.xxx.xxx.xxx, alert=NewPhase1SA Phase 1 SA Negotiated(I) Initiating Phase 2 QM New Quick Exchange - Initiator Send: (E):Hash/SA/Nonce/KE/SENT pgpIKEResendLastPacket (4) pgpIKEResendLastPacket (3) pgpIKEResendLastPacket (2) pgpIKEResendLastPacket (1) ALERT(L): xxx.xxx.xxx, alert=ResponseTimeout SAFailed: xxx.xxx.xxx.xxx (0.0.0.0/0.0.0.0) New Informational Exchange - Initiator Sending Phase 1 SA Delete (expired) Send: (E):Hash/Delete/SENT ALERT(L): xxx.xxx.xxx.xxx, alert=DeadPhase1SA >Dann habe ich mir währenddessen noch die Logs angschaut von Linux: Mar 13 16:09:44 SRVLX01 Pluto[6336]: packet from 192.168.50.3:500: ignoring Vendor ID payload Mar 13 16:09:44 SRVLX01 Pluto[6336]: "sample-conn" #3: responding to Main Mode from unknown peer 192.168.50.3 Mar 13 16:09:44 SRVLX01 Pluto[6336]: "sample-conn" #3: ignoring informational payload, type IPSEC_INITIAL_CONTACT Mar 13 16:09:44 SRVLX01 Pluto[6336]: "sample-conn" #3: Peer ID is ID_KEY_ID: '0xFD92A4E048D028D5C7E20F78B7506BEF' Mar 13 16:09:44 SRVLX01 Pluto[6336]: "sample-conn" #3: ignoring CERT_PGP certificate payload Mar 13 16:09:44 SRVLX01 Pluto[6336]: "sample-conn" #3: STATE_MAIN_R3: sent MR3, ISAKMP SA established Mar 13 16:09:44 SRVLX01 Pluto[6336]: "sample-conn" #4: cannot respond to IPsec SA request because no connection is known for xxx.xxx.xxx.xxx[0x155D7C7618BABDD70C2DEB09969F020C]...192.168.50.3[0xFD92A4E048D028D5C7E20F78B7506BEF] Mar 13 16:09:46 SRVLX01 Pluto[6336]: "sample-conn" #3: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xaa02c761 (perhaps this is a duplicated packet) Mar 13 16:09:55 SRVLX01 Pluto[6336]: "sample-conn" #3: ignoring Delete SA payload Mar 13 16:09:55 SRVLX01 Pluto[6336]: "sample-conn" #3: received and ignored informational message >Und hier meine Firewall Regeln vielleicht liegt es daran? # IKE negotiations on UDP port 500 ${IPTABLES} -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT ${IPTABLES} -A OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT # ESP (protocol 50, not port) encryption and authentication ${IPTABLES} -A INPUT -p 50 -j ACCEPT ${IPTABLES} -A OUTPUT -p 50 -j ACCEPT # AHP (Authentication header protocol, IP-Protocol 51) ${IPTABLES} -A INPUT -p 51 -j ACCEPT ${IPTABLES} -A OUTPUT -p 51 -j ACCEPT >Also ich denke das es schwer nach einem Zertifikatsfehler aus vielleicht weiß einer >von euch da mehr oder woran es liegen könnte im voraus Vielen Dank Gruß efkay Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
SilenceX Geschrieben 14. März 2003 Teilen Geschrieben 14. März 2003 Ich kann dir zwar leider nicht wirklich weiter helfen, aber schau mal dort: http://www.bitsnbugs.de/projects/ipsec/bnb_ipsec.php Villeicht hilft dir das Beispiel weiter. Ich hab das bei mir fast identisch abgepinselt und es funktioniert. Mit PGPNet hatte ich allerdings noch nichts zu tun. Viel Glück Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
efkay Geschrieben 17. März 2003 Autor Teilen Geschrieben 17. März 2003 Hallo Leute bezüglich meinem Problem hat es sich erledigt,aber dazu kommt das nächste wenn meine roadwarrior sich connecten möchte erscheint diese Fehlermeldung: ar 17 16:38:48 SRVLX01 pluto[7472]: packet from 192.168.50.3:500: ignoring Vendor ID payload Mar 17 16:38:48 SRVLX01 pluto[7472]: packet from 192.168.50.3:500: initial Main Mode message received on xxx.xxx.xxx.xxx:500 but no connection has been authorized Mar 17 16:38:56 SRVLX01 pluto[7472]: packet from 192.168.50.3:500: ignoring Vendor ID payload Mar 17 16:38:56 SRVLX01 pluto[7472]: packet from 192.168.50.3:500: initial Main Mode message received on xxx.xxx.xxx.xxx:500 but no connection has been authorized Vielleicht weiß einer von euch was Gruß efkay Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.