ipsec-racoon

22/01/2009 - 18:16 von Ronny Plattner | Report spam
Hallo,

hab hier Schwierigkeiten mit ipsec und racoon.

Schon in Phase 1 bleibt der Authentifizierungsprozess (per Passphrase)
hàngen und mir ist nicht klar, wo jetzt das Problem liegt.

Was spricht der -v ausgeführte racoon

-snip-
HAL:~# /etc/init.d/racoon restart
Stopping IKE (ISAKMP/Oakley) server: racoon.
Starting IKE (ISAKMP/Oakley) server: racoon.
HAL:~# tail -f /var/log/syslog
Jan 22 17:29:45 HAL racoon: INFO: @(#)ipsec-tools 0.6.6
(http://ipsec-tools.sourceforge.net)
Jan 22 17:29:45 HAL racoon: INFO: @(#)This product linked OpenSSL 0.9.8c
05 Sep 2006 (http://www.openssl.org/)
Jan 22 17:29:46 HAL racoon: INFO: 127.0.0.1[500] used as isakmp port (fd=7)
Jan 22 17:29:46 HAL racoon: INFO: 127.0.0.1[500] used for NAT-T
Jan 22 17:29:46 HAL racoon: INFO: 88.yyy.xx.44[500] used as isakmp port
(fd=8)
Jan 22 17:29:46 HAL racoon: INFO: 88.yyy.xx.44[500] used for NAT-T
Jan 22 17:29:46 HAL racoon: INFO: 10.97.1.1[500] used as isakmp port (fd=9)
Jan 22 17:29:46 HAL racoon: INFO: 10.97.1.1[500] used for NAT-T
Jan 22 17:29:46 HAL racoon: INFO: ::1[500] used as isakmp port (fd)
Jan 22 17:29:46 HAL racoon: INFO: fe80::213:d3ff:fec9:72e9%eth1[500]
used as isakmp port (fd)
-snap-

Nun ein
-snip-
racoonctl vpn-connect EXTERNE_IP_VPN_GW
-snap-

um die Verbindung aufzubauen, ergibt folgende Ausgabe im Logfile:

-snip-
Jan 22 17:30:08 HAL racoon: INFO: accept a request to establish IKE-SA:
EXTERNE_IP_VPN_GW
Jan 22 17:30:08 HAL racoon: INFO: initiate new phase 1 negotiation:
88.yyy.xx.44[500]<=>EXTERNE_IP_VPN_GW[500]
Jan 22 17:30:08 HAL racoon: INFO: begin Identity Protection mode.
Jan 22 17:30:08 HAL racoon: INFO: received Vendor ID:
draft-ietf-ipsec-nat-t-ike-02
Jan 22 17:30:08 HAL racoon: INFO: received Vendor ID:
draft-ietf-ipsec-nat-t-ike-03
Jan 22 17:30:08 HAL racoon: INFO: received Vendor ID: RFC 3947
Jan 22 17:30:08 HAL racoon: INFO: received Vendor ID: DPD
Jan 22 17:30:08 HAL racoon: INFO: ISAKMP-SA established
88.yyy.xx.44[500]-EXTERNE_IP_VPN_GW[500]
spi:3fe1141109a00fc1:a450449b61a86769
Jan 22 17:30:17 HAL racoon: INFO: respond new phase 2 negotiation:
88.yyy.xx.44[500]<=>EXTERNE_IP_VPN_GW[500]
Jan 22 17:30:17 HAL racoon: ERROR: no policy found: 10.240.3.0/24[0]
10.97.1.0/24[0] proto=any dir=in
Jan 22 17:30:17 HAL racoon: ERROR: failed to get proposal for responder.
Jan 22 17:30:17 HAL racoon: ERROR: failed to pre-process packet.
Jan 22 17:30:24 HAL racoon: INFO: respond new phase 2 negotiation:
88.yyy.xx.44[500]<=>EXTERNE_IP_VPN_GW[500]
Jan 22 17:30:24 HAL racoon: ERROR: no policy found: 10.240.3.0/24[0]
10.97.1.0/24[0] proto=any dir=in
Jan 22 17:30:24 HAL racoon: ERROR: failed to get proposal for responder.
Jan 22 17:30:24 HAL racoon: ERROR: failed to pre-process packet.
-snap-

Deutet auf einen mismatch des Algorithmus hin ... nur meine ich hier die
richtigen Einstellungen gemacht zu haben. Natürlich geht da nix durch.

Voraussetzungen des VPN-GW:
-snip-
IKE:
dh group 2
encrypt via aes256
hash sha1
lifetime 28800s

IPsec
ESP
aes256
sha1
dh group 2
nicht aggressiv
lifetime 3600s
-snap-

vpn soll in das 10.240.3.0/255.255.255.0 Netz gehen.

Hier mal meine Einstellungen
-snip-
~# cat /etc/setkey.conf
#!/usr/sbin/setkey -f

# Flush the SAD and SPD
flush;
spdflush;



# Security policies
spdadd 10.240.3.0/24 10.97.1.0/24 any -P in ipsec
esp/tunnel/EXTERNE_IP_VPN_GW-88.yyy.xx.44/require;

spdadd 10.97.1.0/24 10.240.3.0/24 any -P out ipsec
esp/tunnel/88.yyy.xx.44-EXTERNE_IP_VPN_GW/require;
-snap-

und

-snip-
~# cat /etc/racoon/racoon.conf

path pre_shared_key "/etc/racoon/psk.txt";
#path certificate "/etc/racoon/certs";

remote EXTERNE_IP_VPN_GW {
exchange_mode main,aggressive;
lifetime time 28800 sec;
proposal {
encryption_algorithm aes256;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
generate_policy off;
}

# Security - IPSEC
sainfo address 10.97.1.0/24[any] any address 10.240.3.0/24[any] any {
pfs_group 2;
lifetime time 3600 sec;
encryption_algorithm aes256, 3des, blowfish, des, rijndael;
authentication_algorithm hmac_sha1, hmac_md5;
compression_algorithm deflate;
}
-snap-

-snip-
~# cat /etc/racoon/psk.txt
## IPv4/v6 addresses
# 20090119- RON
EXTERNE_IP_VPN_GW meinurlangestestpasswort
-snap-


Sollte meiner Meinung nach passen!

Meine Netzwerkeinstellungen ... der Rechner steht bei Hetzner und
verfügt über eine NIC, dem ich eine zusàtzliche virtuelle NIC verpasst habe.

-snip-
~# ifconfig
eth1 Link encap:Ethernet HWaddr 00:13:D3:C9:72:E9
inet addr:88.yyy.xx.44 Bcast:88.yyy.xx.63 Mask:255.255.255.224
inet6 addr: fe80::213:d3ff:fec9:72e9/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:33961421 errors:0 dropped:0 overruns:0 frame:0
TX packets:57254073 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3017232686 (2.8 GiB) TX bytes:77886457368 (72.5 GiB)
Interrupt:177 Base address:0xa000

eth1:1 Link encap:Ethernet HWaddr 00:13:D3:C9:72:E9
inet addr:10.97.1.1 Bcast:10.97.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Interrupt:177 Base address:0xa000

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:177 errors:0 dropped:0 overruns:0 frame:0
TX packets:177 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:17471 (17.0 KiB) TX bytes:17471 (17.0 KiB)

HAL:~# ping 10.97.1.1
PING 10.97.1.1 (10.97.1.1) 56(84) bytes of data.
64 bytes from 10.97.1.1: icmp_seq=1 ttld time=0.029 ms

10.97.1.1 ping statistics
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.029/0.029/0.029/0.000 ms
-snap-

Die Routen etc.

-snip-
~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use
Iface
88.yyy.xx.32 88.yyy.xx.33 255.255.255.224 UG 0 0 0 eth1
88.yyy.xx.32 0.0.0.0 255.255.255.224 U 0 0 0 eth1
10.97.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 88.yyy.xx.33 0.0.0.0 UG 0 0 0 eth1
HAL:~#
HAL:~# cat /etc/sysctl.conf |grep ipv4
#net/ipv4/icmp_echo_ignore_broadcasts=1
#net.ipv4.conf.default.rp_filter=1
#net.ipv4.tcp_syncookies=1
net.ipv4.conf.default.forwarding=1
-snap-


Beim VPN-GW handelt es sich um ein Phion netfence ... welches offenbar
eh auf einem Linux-Kern aufbaut.

Vielen Dank für's Überblicken
Ronny
 

Lesen sie die antworten

#1 Ronny Plattner
24/03/2009 - 11:48 | Warnen spam
Informationen:

Es làuft. Raccon kommt nicht mehr zum Einsatz - stattdessen pluto.
Was zu beachten ist. Als nexthop ist unbedingt die IP der virtuellen NIC
anzugeben. Auch wenn die Routinginformationen korrekt scheinen, ist die
unumgànglich.

Ronny

Ähnliche fragen