Forums Neueste Beiträge
 

[ISA 2004] Site-to-Site-VPN mit IPsec zum IPCop - Phase2/Quick Mode schlägt fehl

10/03/2009 - 12:57 von Mathias Jeschke | Report spam
Hallo ISA-Spezialisten,

Als Admin, der eher aus dem UNIX/Linux-Lager kommt,
habe ich ein Problem beim Einrichten eines IPsec-VPN
zwischen einem ISA 2004 (auf Windows 2003) und
einem IPCop-Gateway (Freeswan auf Linux 2.4).

Beim Einrichten bin ich strikt nach dieser Anleitung vorgegangen:
http://technet.microsoft.com/en-us/...02440.aspx
(Mit Anpassungen für IPCop statt Smoothwall natürlich)

So sieht das Setup übrigends aus:

192.168.40.0/24 192.168.42.0/24
-+- -+-
| |
++ +-+
| IPCop | | ISA 2004 |
++ +-+
| 192.168.222.121 | 192.168.222.120
+--+


Wenn nun der IPCop eine Verbindung aufbaut,
bricht der Aufbau in Phase 2 (Quick Mode) mit dieser Fehlermeldung ab:

"INVALID_ID_INFORMATION"

Um auszuschließen, dass der Fehler beim IPCop liegt,
habe ich das Setup auf einem Linux-2.6-System mit racoon nachgebaut,
was allerdings zum selben Fehler führt (racoon <-> ISA 2004):
"[...]
ERROR: unknown notify message, no phase2 handle found.
DEBUG: notification message 18:INVALID-ID-INFORMATION, doi=1 proto_id=3
spi000000(size=4).
[...]"

Die Lifetime-Werte habe ich auch wie beschrieben auf 1 bzw. 8 Stunden
geàndert - ohne Erfolg.

Etwas merkwürdig finde ich diesen Abschnitt im oakley-Log:

"[...]
3-10: 01:13:15:562:db0 Finding Responder Policy for SRC2.168.40.0.0000 DST2.168.42.0.0000, SRCMask%5.255.255.0, DSTMask%5.255.255.0, Prot=0 InTunnelEndpt 78dea8c0 OutTunnelEndpt 79dea8c0
3-10: 01:13:15:562:db0 Failed to get TunnelPolicy 13015
3-10: 01:13:15:562:db0 Responder failed to match filter(Phase II) 13015
3-10: 01:13:15:562:db0 Datenschutzmodus (Schnellmodus)
3-10: 01:13:15:562:db0 Quell-IP-Adresse 192.168.42.0 Quell-IP-Adressmaske 255.255.255.0 Ziel-IP-Adresse 192.168.40.0 Ziel-IP-Adressmaske 255.255.255.0 Protokoll 0 Quellport 0 Zielport 0 Lokale IKE-Adresse 192.168.222.120 Peer-IKE-Adresse 192.168.222.121 IKE-Quellport 500 IKE-Zielport 500 Private Peeradresse
3-10: 01:13:15:562:db0 Kennung des vorinstallierten Schl ssels. Peer-IP-Adresse: 192.168.222.121
3-10: 01:13:15:562:db0 Benutzer
3-10: 01:13:15:562:db0 Keine Richtlinie konfiguriert.
[...]"

Warum meint er, "keine Richtlinie konfiguriert" zu haben?

Ein Test zwischen IPCop (Freeswan) und racoon (Linux 2.6)
funktioniert übrigends problemlos,
was zeigt dass zumindest die PSKs und Cryptoalgorithmen
auf den Linux-Systemen richtig eingerichtet sind.


BTW: Auch das Aufsetzen eines OpenVPN (als Alternative)
auf dem ISA hat nicht wirklich funktioniert.
Mal abgesehen von der (schwachsinnigen) Policy,
man dürfe nur ausgewàhlte Dienste lokal auf dem ISA laufen lassen,
(Stichwort: Systemrichtlinienregeln)
funktioniert trotz eingerichteter Routen- und Firewall-Regeln
kein Routing zwischen den angeschlossenen Netzen.

Der OpenVPN làuft also auf Port 500 (IPsec-Dienste deaktiviert).
openvpn --dev tun --port 500 --ifconfig 192.168.0.1 192.168.0.2 --verb 4 --ip-win32 netsh --remote 192.168.222.121 1195 --route 192.168.40.0 255.255.255.0

Ein Ping vom IPCop zum ISA selbst durch den OpenVPN-Tunnel geht (192.168.42.1)
und wird auch entsprechend in der Überwachung des ISA angezeigt:
"Regel: ICMP-Anfrage..."

Ein Ping von einem Rechner hinter dem IPCop zum ISA selbst oder
hinter dem ISA, quittiert das Überwachungs-Log lapidar
mit "Verweigerte Verbindung" und gibt auch keine Regel an,
die das besagt. (Das Regel-Attribut ist leer statt "Standardregel")


Anlage:

-< messages from oakley.log >-
3-10: 01:13:15:531:db0 Receive: (get) SA = 0x00000000 from 192.168.222.121.500
3-10: 01:13:15:531:db0 ISAKMP Header: (V1.0), len = 180
3-10: 01:13:15:531:db0 I-COOKIE 00ae1b226a5e6ad3
3-10: 01:13:15:531:db0 R-COOKIE 0000000000000000
3-10: 01:13:15:531:db0 exchange: Oakley Main Mode
3-10: 01:13:15:531:db0 flags: 0
3-10: 01:13:15:531:db0 next payload: SA
3-10: 01:13:15:531:db0 message ID: 00000000
3-10: 01:13:15:531:db0 Filter to match: Src 192.168.222.121 Dst 192.168.222.120
3-10: 01:13:15:531:db0 MM PolicyName: ISA Server Test-IPCop MM Policy
3-10: 01:13:15:531:db0 MMPolicy dwFlags 0 SoftSAExpireTime 28800
3-10: 01:13:15:531:db0 MMOffer[0] LifetimeSec 28800 QMLimit 0 DHGroup 2
3-10: 01:13:15:531:db0 MMOffer[0] Encrypt: Dreifach-DES CBC Hash: SHA
3-10: 01:13:15:531:db0 Auth[0]:PresharedKey KeyLen 12
3-10: 01:13:15:531:db0 Responding with new SA 12e288
3-10: 01:13:15:531:db0 processing payload SA
3-10: 01:13:15:531:db0 Received Phase 1 Transform 0
3-10: 01:13:15:531:db0 Life type in Seconds
3-10: 01:13:15:531:db0 Life duration of 28800
3-10: 01:13:15:531:db0 Encryption Alg Dreifach-DES CBC(5)
3-10: 01:13:15:531:db0 Hash Alg SHA(2)
3-10: 01:13:15:531:db0 Auth Method Vorinstallierter Schl ssel(1)
3-10: 01:13:15:531:db0 Oakley Group 2
3-10: 01:13:15:531:db0 Phase 1 SA accepted: transform=1
3-10: 01:13:15:531:db0 SA - Oakley proposal accepted
3-10: 01:13:15:531:db0 processing payload VENDOR ID
3-10: 01:13:15:531:db0 processing payload VENDOR ID
3-10: 01:13:15:531:db0 processing payload VENDOR ID
3-10: 01:13:15:531:db0 processing payload VENDOR ID
3-10: 01:13:15:531:db0 processing payload VENDOR ID
3-10: 01:13:15:531:db0 ClearFragList
3-10: 01:13:15:531:db0 constructing ISAKMP Header
3-10: 01:13:15:531:db0 constructing SA (ISAKMP)
3-10: 01:13:15:531:db0 Constructing Vendor MS NT5 ISAKMPOAKLEY
3-10: 01:13:15:531:db0 Constructing Vendor FRAGMENTATION
3-10: 01:13:15:531:db0 Constructing Vendor draft-ietf-ipsec-nat-t-ike-02
3-10: 01:13:15:531:db0
3-10: 01:13:15:531:db0 Sending: SA = 0x0012E288 to 192.168.222.121:Type 2.500
3-10: 01:13:15:531:db0 ISAKMP Header: (V1.0), len = 148
3-10: 01:13:15:531:db0 I-COOKIE 00ae1b226a5e6ad3
3-10: 01:13:15:531:db0 R-COOKIE b01b1d5a83ffb4a3
3-10: 01:13:15:531:db0 exchange: Oakley Main Mode
3-10: 01:13:15:531:db0 flags: 0
3-10: 01:13:15:531:db0 next payload: SA
3-10: 01:13:15:531:db0 message ID: 00000000
3-10: 01:13:15:531:db0 Ports S:f401 D:f401
3-10: 01:13:15:531:db0
3-10: 01:13:15:531:db0 Receive: (get) SA = 0x0012e288 from 192.168.222.121.500
3-10: 01:13:15:531:db0 ISAKMP Header: (V1.0), len = 228
3-10: 01:13:15:531:db0 I-COOKIE 00ae1b226a5e6ad3
3-10: 01:13:15:531:db0 R-COOKIE b01b1d5a83ffb4a3
3-10: 01:13:15:531:db0 exchange: Oakley Main Mode
3-10: 01:13:15:531:db0 flags: 0
3-10: 01:13:15:531:db0 next payload: KE
3-10: 01:13:15:531:db0 message ID: 00000000
3-10: 01:13:15:531:db0 processing payload KE
3-10: 01:13:15:562:db0 processing payload NONCE
3-10: 01:13:15:562:db0 ClearFragList
3-10: 01:13:15:562:db0 constructing ISAKMP Header
3-10: 01:13:15:562:db0 constructing KE
3-10: 01:13:15:562:db0 constructing NONCE (ISAKMP)
3-10: 01:13:15:562:db0
3-10: 01:13:15:562:db0 Sending: SA = 0x0012E288 to 192.168.222.121:Type 2.500
3-10: 01:13:15:562:db0 ISAKMP Header: (V1.0), len = 184
3-10: 01:13:15:562:db0 I-COOKIE 00ae1b226a5e6ad3
3-10: 01:13:15:562:db0 R-COOKIE b01b1d5a83ffb4a3
3-10: 01:13:15:562:db0 exchange: Oakley Main Mode
3-10: 01:13:15:562:db0 flags: 0
3-10: 01:13:15:562:db0 next payload: KE
3-10: 01:13:15:562:db0 message ID: 00000000
3-10: 01:13:15:562:db0 Ports S:f401 D:f401
3-10: 01:13:15:562:db0
3-10: 01:13:15:562:db0 Receive: (get) SA = 0x0012e288 from 192.168.222.121.500
3-10: 01:13:15:562:db0 ISAKMP Header: (V1.0), len = 68
3-10: 01:13:15:562:db0 I-COOKIE 00ae1b226a5e6ad3
3-10: 01:13:15:562:db0 R-COOKIE b01b1d5a83ffb4a3
3-10: 01:13:15:562:db0 exchange: Oakley Main Mode
3-10: 01:13:15:562:db0 flags: 1 ( encrypted )
3-10: 01:13:15:562:db0 next payload: ID
3-10: 01:13:15:562:db0 message ID: 00000000
3-10: 01:13:15:562:db0 processing payload ID
3-10: 01:13:15:562:db0 processing payload HASH
3-10: 01:13:15:562:db0 AUTH: Phase I authentication accepted
3-10: 01:13:15:562:db0 ClearFragList
3-10: 01:13:15:562:db0 constructing ISAKMP Header
3-10: 01:13:15:562:db0 constructing ID
3-10: 01:13:15:562:db0 MM ID Type 1
3-10: 01:13:15:562:db0 MM ID c0a8de78
3-10: 01:13:15:562:db0 constructing HASH
3-10: 01:13:15:562:db0 MM established. SA: 0012E288
3-10: 01:13:15:562:db0
3-10: 01:13:15:562:db0 Sending: SA = 0x0012E288 to 192.168.222.121:Type 2.500
3-10: 01:13:15:562:db0 ISAKMP Header: (V1.0), len = 68
3-10: 01:13:15:562:db0 I-COOKIE 00ae1b226a5e6ad3
3-10: 01:13:15:562:db0 R-COOKIE b01b1d5a83ffb4a3
3-10: 01:13:15:562:db0 exchange: Oakley Main Mode
3-10: 01:13:15:562:db0 flags: 1 ( encrypted )
3-10: 01:13:15:562:db0 next payload: ID
3-10: 01:13:15:562:db0 message ID: 00000000
3-10: 01:13:15:562:db0 Ports S:f401 D:f401
3-10: 01:13:15:562:db0
3-10: 01:13:15:562:db0 Receive: (get) SA = 0x0012e288 from 192.168.222.121.500
3-10: 01:13:15:562:db0 ISAKMP Header: (V1.0), len = 292
3-10: 01:13:15:562:db0 I-COOKIE 00ae1b226a5e6ad3
3-10: 01:13:15:562:db0 R-COOKIE b01b1d5a83ffb4a3
3-10: 01:13:15:562:db0 exchange: Oakley Quick Mode
3-10: 01:13:15:562:db0 flags: 1 ( encrypted )
3-10: 01:13:15:562:db0 next payload: HASH
3-10: 01:13:15:562:db0 message ID: 3a8f18a3
3-10: 01:13:15:562:db0 processing HASH (QM)
3-10: 01:13:15:562:db0 ClearFragList
3-10: 01:13:15:562:db0 processing payload NONCE
3-10: 01:13:15:562:db0 processing payload KE
3-10: 01:13:15:562:db0 Quick Mode KE processed; Saved KE data
3-10: 01:13:15:562:db0 processing payload ID
3-10: 01:13:15:562:db0 processing payload ID
3-10: 01:13:15:562:db0 processing payload SA
3-10: 01:13:15:562:db0 Negotiated Proxy ID: Src 192.168.40.0.0 Dst 192.168.42.0.0
3-10: 01:13:15:562:db0 Src id for subnet. Mask 255.255.255.0
3-10: 01:13:15:562:db0 Dst id for subnet. Mask 255.255.255.0
3-10: 01:13:15:562:db0 Checking Proposal 0: Proto= ESP(3), num trans=1 Next=0
3-10: 01:13:15:562:db0 Checking Transform # 0: ID=Dreifach-DES CBC(3)
3-10: 01:13:15:562:db0 group description for PFS is 2
3-10: 01:13:15:562:db0 tunnel mode is Tunnelmodus(1)
3-10: 01:13:15:562:db0 SA life type in seconds
3-10: 01:13:15:562:db0 SA life duration 3600
3-10: 01:13:15:562:db0 HMAC algorithm is SHA(2)
3-10: 01:13:15:562:db0 Finding Responder Policy for SRC2.168.40.0.0000 DST2.168.42.0.0000, SRCMask%5.255.255.0, DSTMask%5.255.255.0, Prot=0 InTunnelEndpt 78dea8c0 OutTunnelEndpt 79dea8c0
3-10: 01:13:15:562:db0 Failed to get TunnelPolicy 13015
3-10: 01:13:15:562:db0 Responder failed to match filter(Phase II) 13015
3-10: 01:13:15:562:db0 Datenschutzmodus (Schnellmodus)
3-10: 01:13:15:562:db0 Quell-IP-Adresse 192.168.42.0 Quell-IP-Adressmaske 255.255.255.0 Ziel-IP-Adresse 192.168.40.0 Ziel-IP-Adressmaske 255.255.255.0 Protokoll 0 Quellport 0 Zielport 0 Lokale IKE-Adresse 192.168.222.120 Peer-IKE-Adresse 192.168.222.121 IKE-Quellport 500 IKE-Zielport 500 Private Peeradresse
3-10: 01:13:15:562:db0 Kennung des vorinstallierten Schl ssels. Peer-IP-Adresse: 192.168.222.121
3-10: 01:13:15:562:db0 Benutzer
3-10: 01:13:15:562:db0 Keine Richtlinie konfiguriert.
3-10: 01:13:15:562:db0 Als drittes verarbeitete Nutzlast (ID) Antwort. Wartezeit 0 0x0 0x0
3-10: 01:13:15:562:db0 isadb_set_status sa:0012E288 centry:000DE570 status 3601
3-10: 01:13:15:562:db0 ProcessFailure: sa:0012E288 centry:000DE570 status:3601
3-10: 01:13:15:562:db0 constructing ISAKMP Header
3-10: 01:13:15:562:db0 constructing HASH (null)
3-10: 01:13:15:562:db0 constructing NOTIFY 18
3-10: 01:13:15:562:db0 constructing HASH (Notify/Delete)
3-10: 01:13:15:562:db0
3-10: 01:13:15:562:db0 Sending: SA = 0x0012E288 to 192.168.222.121:Type 1.500
3-10: 01:13:15:562:db0 ISAKMP Header: (V1.0), len = 68
3-10: 01:13:15:562:db0 I-COOKIE 00ae1b226a5e6ad3
3-10: 01:13:15:562:db0 R-COOKIE b01b1d5a83ffb4a3
3-10: 01:13:15:562:db0 exchange: ISAKMP Informational Exchange
3-10: 01:13:15:562:db0 flags: 1 ( encrypted )
3-10: 01:13:15:562:db0 next payload: HASH
3-10: 01:13:15:562:db0 message ID: 70b5e794
3-10: 01:13:15:562:db0 Ports S:f401 D:f401
3-10: 01:13:15:562:db0
3-10: 01:13:15:562:db0 Receive: (get) SA = 0x0012e288 from 192.168.222.121.500
3-10: 01:13:15:562:db0 ISAKMP Header: (V1.0), len = 292
3-10: 01:13:15:562:db0 I-COOKIE 00ae1b226a5e6ad3
3-10: 01:13:15:562:db0 R-COOKIE b01b1d5a83ffb4a3
3-10: 01:13:15:562:db0 exchange: Oakley Quick Mode
3-10: 01:13:15:562:db0 flags: 1 ( encrypted )
3-10: 01:13:15:562:db0 next payload: HASH
3-10: 01:13:15:562:db0 message ID: 9bf424f1
3-10: 01:13:15:562:db0 processing HASH (QM)
3-10: 01:13:15:562:db0 ClearFragList
3-10: 01:13:15:562:db0 processing payload NONCE
3-10: 01:13:15:562:db0 processing payload KE
3-10: 01:13:15:562:db0 Quick Mode KE processed; Saved KE data
3-10: 01:13:15:562:db0 processing payload ID
3-10: 01:13:15:562:db0 processing payload ID
3-10: 01:13:15:562:db0 processing payload SA
3-10: 01:13:15:562:db0 Negotiated Proxy ID: Src 192.168.40.0.0 Dst 192.168.42.0.0
3-10: 01:13:15:562:db0 Src id for subnet. Mask 255.255.255.0
3-10: 01:13:15:562:db0 Dst id for subnet. Mask 255.255.255.0
3-10: 01:13:15:562:db0 Checking Proposal 0: Proto= ESP(3), num trans=1 Next=0
3-10: 01:13:15:562:db0 Checking Transform # 0: ID=Dreifach-DES CBC(3)
3-10: 01:13:15:562:db0 group description for PFS is 2
3-10: 01:13:15:562:db0 tunnel mode is Tunnelmodus(1)
3-10: 01:13:15:562:db0 SA life type in seconds
3-10: 01:13:15:562:db0 SA life duration 3600
3-10: 01:13:15:562:db0 HMAC algorithm is SHA(2)
3-10: 01:13:15:562:db0 Finding Responder Policy for SRC2.168.40.0.0000 DST2.168.42.0.0000, SRCMask%5.255.255.0, DSTMask%5.255.255.0, Prot=0 InTunnelEndpt 78dea8c0 OutTunnelEndpt 79dea8c0
3-10: 01:13:15:562:db0 Failed to get TunnelPolicy 13015
3-10: 01:13:15:562:db0 Responder failed to match filter(Phase II) 13015
3-10: 01:13:15:562:db0 Datenschutzmodus (Schnellmodus)
3-10: 01:13:15:562:db0 Quell-IP-Adresse 192.168.42.0 Quell-IP-Adressmaske 255.255.255.0 Ziel-IP-Adresse 192.168.40.0 Ziel-IP-Adressmaske 255.255.255.0 Protokoll 0 Quellport 0 Zielport 0 Lokale IKE-Adresse 192.168.222.120 Peer-IKE-Adresse 192.168.222.121 IKE-Quellport 500 IKE-Zielport 500 Private Peeradresse
3-10: 01:13:15:562:db0 Kennung des vorinstallierten Schl ssels. Peer-IP-Adresse: 192.168.222.121
3-10: 01:13:15:562:db0 Benutzer
3-10: 01:13:15:562:db0 Keine Richtlinie konfiguriert.
3-10: 01:13:15:562:db0 Als drittes verarbeitete Nutzlast (ID) Antwort. Wartezeit 0 0x0 0x0
3-10: 01:13:15:562:db0 isadb_set_status sa:0012E288 centry:000DE090 status 3601
3-10: 01:13:15:562:db0 ProcessFailure: sa:0012E288 centry:000DE090 status:3601
3-10: 01:13:15:562:db0 constructing ISAKMP Header
3-10: 01:13:15:562:db0 constructing HASH (null)
3-10: 01:13:15:562:db0 constructing NOTIFY 18
3-10: 01:13:15:562:db0 constructing HASH (Notify/Delete)
3-10: 01:13:15:562:db0
3-10: 01:13:15:562:db0 Sending: SA = 0x0012E288 to 192.168.222.121:Type 1.500
3-10: 01:13:15:562:db0 ISAKMP Header: (V1.0), len = 68
3-10: 01:13:15:562:db0 I-COOKIE 00ae1b226a5e6ad3
3-10: 01:13:15:562:db0 R-COOKIE b01b1d5a83ffb4a3
3-10: 01:13:15:562:db0 exchange: ISAKMP Informational Exchange
3-10: 01:13:15:562:db0 flags: 1 ( encrypted )
3-10: 01:13:15:562:db0 next payload: HASH
3-10: 01:13:15:562:db0 message ID: 2304ab09
3-10: 01:13:15:562:db0 Ports S:f401 D:f401
3-10: 01:13:25:562:db0
3-10: 01:13:25:562:db0 Receive: (get) SA = 0x0012e288 from 192.168.222.121.500
3-10: 01:13:25:562:db0 ISAKMP Header: (V1.0), len = 292
3-10: 01:13:25:562:db0 I-COOKIE 00ae1b226a5e6ad3
3-10: 01:13:25:562:db0 R-COOKIE b01b1d5a83ffb4a3
3-10: 01:13:25:562:db0 exchange: Oakley Quick Mode
3-10: 01:13:25:562:db0 flags: 1 ( encrypted )
3-10: 01:13:25:562:db0 next payload: HASH
3-10: 01:13:25:562:db0 message ID: 9bf424f1
3-10: 01:13:25:562:db0 Dropping Centry processing because SA status set. SA 0012E288 Centry 000DE090 Status 3601


-< messages from ipcop >-
Mar 10 00:11:13 ipcop ipsec_setup: Starting Openswan IPsec 1.0.10...
Mar 10 00:11:13 ipcop ipsec_setup: KLIPS debug `none'
Mar 10 00:11:13 ipcop ipsec_setup: KLIPS ipsec0 on eth0 192.168.222.121/255.255.255.0 broadcast 192.168.222.255
Mar 10 00:11:13 ipcop ipsec__plutorun: Starting Pluto subsystem...
Mar 10 00:11:13 ipcop pluto[3540]: Starting Pluto (Openswan Version 1.0.10)
Mar 10 00:11:13 ipcop pluto[3540]: including X.509 patch with traffic selectors (Version 0.9.42)
Mar 10 00:11:13 ipcop pluto[3540]: including NAT-Traversal patch (Version 0.6)
Mar 10 00:11:13 ipcop pluto[3540]: ike_alg_register_enc(): Activating OAKLEY_AES_CBC: Ok (ret=0)
Mar 10 00:11:13 ipcop pluto[3540]: ike_alg_register_enc(): Activating OAKLEY_BLOWFISH_CBC: Ok (ret=0)
Mar 10 00:11:13 ipcop pluto[3540]: ike_alg_register_enc(): Activating OAKLEY_CAST_CBC: Ok (ret=0)
Mar 10 00:11:13 ipcop pluto[3540]: ike_alg_register_enc(): Activating OAKLEY_SERPENT_CBC: Ok (ret=0)
Mar 10 00:11:13 ipcop pluto[3540]: ike_alg_register_hash(): Activating OAKLEY_SHA2_256: Ok (ret=0)
Mar 10 00:11:13 ipcop pluto[3540]: ike_alg_register_hash(): Activating OAKLEY_SHA2_512: Ok (ret=0)
Mar 10 00:11:13 ipcop pluto[3540]: ike_alg_register_enc(): Activating OAKLEY_TWOFISH_CBC: Ok (ret=0)
Mar 10 00:11:13 ipcop pluto[3540]: ike_alg_register_enc(): Activating OAKLEY_SSH_PRIVATE_65289: Ok (ret=0)
Mar 10 00:11:13 ipcop pluto[3540]: Changing to directory '/etc/ipsec.d/cacerts'
Mar 10 00:11:13 ipcop ipsec_setup: ...Openswan IPsec started
Mar 10 00:11:13 ipcop pluto[3540]: Warning: empty directory
Mar 10 00:11:13 ipcop pluto[3540]: Changing to directory '/etc/ipsec.d/crls'
Mar 10 00:11:13 ipcop pluto[3540]: Warning: empty directory
Mar 10 00:11:13 ipcop pluto[3540]: OpenPGP certificate file '/etc/pgpcert.pgp' not found
Mar 10 00:11:13 ipcop pluto[3540]: | from whack: got --esp=3des-sha1!;modp1024
Mar 10 00:11:13 ipcop pluto[3540]: | from whack: got --ike=3des-sha-modp1024!
Mar 10 00:11:13 ipcop pluto[3540]: added connection description "TestISA"
Mar 10 00:11:13 ipcop pluto[3540]: listening for IKE messages
Mar 10 00:11:13 ipcop pluto[3540]: adding interface ipsec0/eth0 192.168.222.121
Mar 10 00:11:13 ipcop pluto[3540]: adding interface ipsec0/eth0 192.168.222.121:4500
Mar 10 00:11:13 ipcop pluto[3540]: loading secrets from "/etc/ipsec.secrets"
Mar 10 00:11:13 ipcop pluto[3540]: "TestISA" #1: initiating Main Mode
Mar 10 00:13:03 ipcop pluto[3540]: "TestISA" #1: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000004]
Mar 10 00:13:03 ipcop pluto[3540]: "TestISA" #1: ignoring Vendor ID payload [FRAGMENTATION]
Mar 10 00:13:03 ipcop pluto[3540]: "TestISA" #1: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
Mar 10 00:13:03 ipcop pluto[3540]: "TestISA" #1: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
Mar 10 00:13:03 ipcop pluto[3540]: "TestISA" #1: NAT-Traversal: Only 0 NAT-D - Aborting NAT-Traversal negociation
Mar 10 00:13:03 ipcop pluto[3540]: "TestISA" #1: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
Mar 10 00:13:03 ipcop pluto[3540]: "TestISA" #1: Main mode peer ID is ID_IPV4_ADDR: '192.168.222.120'
Mar 10 00:13:03 ipcop pluto[3540]: "TestISA" #1: transition from state STATE_MAIN_I3 to state STATE_MAIN_I4
Mar 10 00:13:03 ipcop pluto[3540]: "TestISA" #1: ISAKMP SA established
Mar 10 00:13:03 ipcop pluto[3540]: "TestISA" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS
Mar 10 00:13:03 ipcop pluto[3540]: "TestISA" #3: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS
Mar 10 00:13:03 ipcop pluto[3540]: "TestISA" #1: ignoring informational payload, type INVALID_ID_INFORMATION
Mar 10 00:13:03 ipcop pluto[3540]: "TestISA" #1: received and ignored informational message
Mar 10 00:13:03 ipcop pluto[3540]: "TestISA" #1: ignoring informational payload, type INVALID_ID_INFORMATION
Mar 10 00:13:03 ipcop pluto[3540]: "TestISA" #1: received and ignored informational message



Gruß,
mj
 

Lesen sie die antworten

#1 Jens Baier
10/03/2009 - 13:51 | Warnen spam
Hi,


192.168.40.0/24 192.168.42.0/24
-+- -+-
| |
++ +-+
| IPCop | | ISA 2004 |
++ +-+
| 192.168.222.121 | 192.168.222.120
+--+



OK

Um auszuschließen, dass der Fehler beim IPCop liegt,
habe ich das Setup auf einem Linux-2.6-System mit racoon nachgebaut,
was allerdings zum selben Fehler führt (racoon <-> ISA 2004):
ERROR: unknown notify message, no phase2 handle found.
DEBUG: notification message 18:INVALID-ID-INFORMATION, doi=1 proto_id=3
spi000000(size=4)



no phase 2 Handle found hoert sich an, als wollen die beiden noch nicht so
richtig voneinander wissen :-(

3-10: 01:13:15:562:db0 Failed to get TunnelPolicy 13015
3-10: 01:13:15:562:db0 Responder failed to match filter(Phase II) 13015
3-10: 01:13:15:562:db0 Datenschutzmodus (Schnellmodus)
3-10: 01:13:15:562:db0 Quell-IP-Adresse 192.168.42.0
Quell-IP-Adressmaske 255.255.255.0 Ziel-IP-Adresse 192.168.40.0
Ziel-IP-Adressmaske 255.255.255.0 Protokoll 0 Quellport 0 Zielport 0
Lokale IKE-Adresse 192.168.222.120 Peer-IKE-Adresse 192.168.222.121
IKE-Quellport 500 IKE-Zielport 500 Private Peeradresse
3-10: 01:13:15:562:db0 Kennung des vorinstallierten Schl ssels.
Peer-IP-Adresse: 192.168.222.121
3-10: 01:13:15:562:db0 Benutzer
3-10: 01:13:15:562:db0 Keine Richtlinie konfiguriert.



ausser, dass es an einer Inkompatibilitaet der beiden Systeme liegt, kann
ich dazu wenig sagen. ISA untereinander mit IPSEC funzen auch immer. Deine
beiden anderen Systeme ja auch, also liegt es an der ISA / IPCop
Kommunikation. Ausser, dass Du noch mal alle Einstellungen fuer Phase 1 und
2 pruefst, habe ich da auch keine Idee. Hast Du PFS auf IPCop Seite
aktiviert? Ggfs. mal ausschalten. Verwendest Du PSK oder Zertifikate?

Ein Test zwischen IPCop (Freeswan) und racoon (Linux 2.6)
funktioniert übrigends problemlos,
was zeigt dass zumindest die PSKs und Cryptoalgorithmen
auf den Linux-Systemen richtig eingerichtet sind.



ACK, wird an der Interpretation der einzelnen Phasen 1 und 2 liegen

auf dem ISA hat nicht wirklich funktioniert.
Mal abgesehen von der (schwachsinnigen) Policy,
man dürfe nur ausgewàhlte Dienste lokal auf dem ISA laufen lassen,
(Stichwort: Systemrichtlinienregeln)



ISA ist eine Firewall und sollte immer nach dem Least Privilege Prinzip
arbeiten. Deshalb so wenig wie moeglich drauf installieren um die Attack
Surface zu reduzieren!

Gruss Jens
www.nt-faq.de
www.it-training-grote.de

Ähnliche fragen