palpatine
Goto Top

IKEv2 mit Linux Mint

Hallo,

ich habe ein Problem eine IKEv2-Verbindung unter Linux Mint 19.3 herzustellen. Ich nutze den StrongSwan-Client und den Network-Manager. Leider klappt es nicht, die syslog sagt:

Aug  1 08:02:11 LOCAL rtkit-daemon[1580]: Supervising 4 threads of 2 processes of 1 users.
Aug  1 08:02:50 LOCAL NetworkManager[992]: <info>  [1596261770.1011] audit: op="connection-activate" uuid="0fffae99-effd-4172-beba-3eb34ffeb8373" name="VPN" pid=1836 uid=1000 result="success"  
Aug  1 08:02:50 LOCAL NetworkManager[992]: <info>  [1596261770.1078] vpn-connection[0x5633216cff80,0f75ae99-effd-4172-beba-3eb34ffeb8373,"VPN",0]: Saw the service appear; activating connection  
Aug  1 08:02:53 LOCAL NetworkManager[992]: <info>  [1596261773.5337] settings-connection[0x5633215acc40,0f75ae99-effd-4172-beba-3eb3ff8eb8373]: write: successfully updated (keyfile: update /etc/NetworkManager/system-connections/VPN (0f75ae99-eb6d-4172-beba-3eb3458eb8373,"VPN")), connection was modified in the process  
Aug  1 08:02:53 LOCAL NetworkManager[992]: <info>  [1596261773.5366] vpn-connection[0x563f16cc280,0f75ae99-effd-4172-beba-3eb3ff8eb8373,"VPN",0]: VPN connection: (ConnectInteractive) reply received  
Aug  1 08:02:53 LOCAL charon-nm: 14[CFG] received initiate for NetworkManager connection VPN
Aug  1 08:02:53 LOCAL charon-nm: 14[LIB]   opening '/home/username/Schreibtisch/IKEv2Profil/rootca.pem' failed: Permission denied  
Aug  1 08:02:53 LOCAL charon-nm: 14[LIB] building CRED_CERTIFICATE - X509 failed, tried 5 builders
Aug  1 08:02:53 LOCAL NetworkManager[992]: <warn>  [1596261773.5373] vpn-connection[0x5633216cc2ff0,0f75ae99-eb6d-4172-beba-3eff458eff373,"VPN",0]: VPN connection: failed to connect: 'Loading gateway certificate failed.'  

Welche Berechtigungen braucht denn rootca.pem?

Vielen Dank im Voraus!

Content-ID: 592755

Url: https://administrator.de/contentid/592755

Ausgedruckt am: 22.11.2024 um 05:11 Uhr

godlie
godlie 01.08.2020 um 10:24:39 Uhr
Goto Top
Schon mal darüber nachgedacht welcher Dienst welche Rechte braucht, oder anders gesagt ob der Job das richtige für dich ist...
ichbindernikolaus
ichbindernikolaus 01.08.2020 um 11:10:06 Uhr
Goto Top
Schon mal darüber nachgedacht deine Überheblichkeit einfach stecken zu lassen? Oder bist du auf sämtlichen Teilgebieten der IT zertifiziert? Du kannst einfach alles? Jegliche Frage zu jedem Themengebiet nachts um 3 Uhr aus dem ff beantworten?
godlie
godlie 01.08.2020 um 12:15:52 Uhr
Goto Top
Zitat von @ichbindernikolaus:

Schon mal darüber nachgedacht deine Überheblichkeit einfach stecken zu lassen? Oder bist du auf sämtlichen Teilgebieten der IT zertifiziert? Du kannst einfach alles? Jegliche Frage zu jedem Themengebiet nachts um 3 Uhr aus dem ff beantworten?

Spricht da der Neid?

Es ist nur erstaunlich wieviel Anfängerfragen in diesem Forum jetzt aufrteten, mag wohl an Corona liegen, oder daran das jeder WirtschaftsInformatiker jetzt auch Admin spielen muss ......
liquidbase
liquidbase 01.08.2020 aktualisiert um 14:47:20 Uhr
Goto Top
Normal muss das Zertifikat als Berechtigung 600 haben. Im Endeffekt heisst das folgendes:

User Group other
rw-  ---   ---

Im Terminal wäre das dann der Befehl
 chmod 600 /home/username/Schreibtisch/IKEv2Profil/rootca.pem
oder
 chmod u=rw, go-rwx /home/username/Schreibtisch/IKEv2Profil/rootca.pem
Zusätzlich solltest du StrongSwan mit USE flag "non-root" installieren. Mit root kann es auch zu den permission denied kommen weil dann dein User nicht berechtigt ist das Zertifikat zu nutzen. Mit dem USE flag umgeht man das.


Zitat von @godlie:

Spricht da der Neid?

Es ist nur erstaunlich wieviel Anfängerfragen in diesem Forum jetzt aufrteten, mag wohl an Corona liegen, oder daran das jeder WirtschaftsInformatiker jetzt auch Admin spielen muss ......

Auch schon mal daran gedacht, dass ein Forum gerade dafür da ist das man Fragen stellt wenn man etwas nicht weiß? Anstatt so überheblich zu sein wäre es eher angebracht gewesen überhaupt ein wenig Hilfestellung zu geben.
OIOOIOOIOIIOOOIIOIIOIOOO
OIOOIOOIOIIOOOIIOIIOIOOO 30.03.2021 um 10:01:40 Uhr
Goto Top
Moin,

ich weiß, man antwortet nicht auf alte Beiträge.

Da es jedoch noch nicht gelöst ist, dachte ich man könnte meinen Leid von heute Morgen anderen ersparen.

Ein anderes Problem, was diesen Fehler auslösen kann ist SELinux.
Es lässt sich lösen, in dem man den richtigen Context der Zertifikat-Datei setzt.

Bei Fedora braucht die Datei den cert_t-Context.
Bei mir hat folgendes Befehl gereicht:
chcon -t cert_t /etc/ssl/private/vpnca.crt

Auf anderen Distributionen braucht man andere Context-Labels. Entweder sollte man das Handbuch/Wiki/Forum der Distribution aufsuchen oder ähnliche Dateien/Ordner suchen.
In Fedora hat ls -Zal /etc/ssl folgendes Context präsentiert:
drwxr-xr-x.   3 root root system_u:object_r:cert_t:s0      4096 30. Mär 06:25 .
Sodass konnte ich schlußfolgern, dass ich cert_t als Context brauchte.

Viele Grüße

Ich