01.08.2020, aktualisiert um 19:04:51 Uhr

3682

IKEv2 mit Linux Mint

Hallo,

ich habe ein Problem eine IKEv2-Verbindung unter Linux Mint 19.3 herzustellen. Ich nutze den StrongSwan-Client und den Network-Manager. Leider klappt es nicht, die syslog sagt:

Aug  1 08:02:11 LOCAL rtkit-daemon[1580]: Supervising 4 threads of 2 processes of 1 users.
Aug  1 08:02:50 LOCAL NetworkManager[992]: <info>  [1596261770.1011] audit: op="connection-activate" uuid="0fffae99-effd-4172-beba-3eb34ffeb8373" name="VPN" pid=1836 uid=1000 result="success"  
Aug  1 08:02:50 LOCAL NetworkManager[992]: <info>  [1596261770.1078] vpn-connection[0x5633216cff80,0f75ae99-effd-4172-beba-3eb34ffeb8373,"VPN",0]: Saw the service appear; activating connection  
Aug  1 08:02:53 LOCAL NetworkManager[992]: <info>  [1596261773.5337] settings-connection[0x5633215acc40,0f75ae99-effd-4172-beba-3eb3ff8eb8373]: write: successfully updated (keyfile: update /etc/NetworkManager/system-connections/VPN (0f75ae99-eb6d-4172-beba-3eb3458eb8373,"VPN")), connection was modified in the process  
Aug  1 08:02:53 LOCAL NetworkManager[992]: <info>  [1596261773.5366] vpn-connection[0x563f16cc280,0f75ae99-effd-4172-beba-3eb3ff8eb8373,"VPN",0]: VPN connection: (ConnectInteractive) reply received  
Aug  1 08:02:53 LOCAL charon-nm: 14[CFG] received initiate for NetworkManager connection VPN
Aug  1 08:02:53 LOCAL charon-nm: 14[LIB]   opening '/home/username/Schreibtisch/IKEv2Profil/rootca.pem' failed: Permission denied  
Aug  1 08:02:53 LOCAL charon-nm: 14[LIB] building CRED_CERTIFICATE - X509 failed, tried 5 builders
Aug  1 08:02:53 LOCAL NetworkManager[992]: <warn>  [1596261773.5373] vpn-connection[0x5633216cc2ff0,0f75ae99-eb6d-4172-beba-3eff458eff373,"VPN",0]: VPN connection: failed to connect: 'Loading gateway certificate failed.'  

Welche Berechtigungen braucht denn rootca.pem?

Vielen Dank im Voraus!

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 592755

Url: https://administrator.de/contentid/592755

Ausgedruckt am: 22.11.2024 um 05:11 Uhr

5 Kommentare

Neuester Kommentar

Schon mal darüber nachgedacht welcher Dienst welche Rechte braucht, oder anders gesagt ob der Job das richtige für dich ist...

Schon mal darüber nachgedacht deine Überheblichkeit einfach stecken zu lassen? Oder bist du auf sämtlichen Teilgebieten der IT zertifiziert? Du kannst einfach alles? Jegliche Frage zu jedem Themengebiet nachts um 3 Uhr aus dem ff beantworten?

Zitat von @ichbindernikolaus:

Schon mal darüber nachgedacht deine Überheblichkeit einfach stecken zu lassen? Oder bist du auf sämtlichen Teilgebieten der IT zertifiziert? Du kannst einfach alles? Jegliche Frage zu jedem Themengebiet nachts um 3 Uhr aus dem ff beantworten?

Spricht da der Neid?

Es ist nur erstaunlich wieviel Anfängerfragen in diesem Forum jetzt aufrteten, mag wohl an Corona liegen, oder daran das jeder WirtschaftsInformatiker jetzt auch Admin spielen muss ......

Normal muss das Zertifikat als Berechtigung 600 haben. Im Endeffekt heisst das folgendes:

User Group other
rw-  ---   ---

Im Terminal wäre das dann der Befehl

 chmod 600 /home/username/Schreibtisch/IKEv2Profil/rootca.pem

oder

 chmod u=rw, go-rwx /home/username/Schreibtisch/IKEv2Profil/rootca.pem

Zusätzlich solltest du StrongSwan mit USE flag "non-root" installieren. Mit root kann es auch zu den permission denied kommen weil dann dein User nicht berechtigt ist das Zertifikat zu nutzen. Mit dem USE flag umgeht man das.

Zitat von @godlie:

Spricht da der Neid?

Es ist nur erstaunlich wieviel Anfängerfragen in diesem Forum jetzt aufrteten, mag wohl an Corona liegen, oder daran das jeder WirtschaftsInformatiker jetzt auch Admin spielen muss ......

Auch schon mal daran gedacht, dass ein Forum gerade dafür da ist das man Fragen stellt wenn man etwas nicht weiß? Anstatt so überheblich zu sein wäre es eher angebracht gewesen überhaupt ein wenig Hilfestellung zu geben.

Moin,

ich weiß, man antwortet nicht auf alte Beiträge.

Da es jedoch noch nicht gelöst ist, dachte ich man könnte meinen Leid von heute Morgen anderen ersparen.

Ein anderes Problem, was diesen Fehler auslösen kann ist SELinux.
Es lässt sich lösen, in dem man den richtigen Context der Zertifikat-Datei setzt.

Bei Fedora braucht die Datei den cert_t-Context.
Bei mir hat folgendes Befehl gereicht:

chcon -t cert_t /etc/ssl/private/vpnca.crt

Auf anderen Distributionen braucht man andere Context-Labels. Entweder sollte man das Handbuch/Wiki/Forum der Distribution aufsuchen oder ähnliche Dateien/Ordner suchen.
In Fedora hat ls -Zal /etc/ssl folgendes Context präsentiert:

drwxr-xr-x.   3 root root system_u:object_r:cert_t:s0      4096 30. Mär 06:25 .

Sodass konnte ich schlußfolgern, dass ich cert_t als Context brauchte.

Viele Grüße

Ich

Frage Linux Ubuntu

Mehr von Palpatine

Grub verschiebenPalpatine - 4 Kommentare

HP Notebook Shift-Tasten funktionieren nicht mehrPalpatine - 5 Kommentare

Leises Klackern beim Abspielen von irgendwasPalpatine - 3 Kommentare

Hilfe bei Strongswan VPN (ikev1)Palpatine - 8 Kommentare

Heiß diskutiert

Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentare

Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 Kommentare

Intel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 Kommentare

Laufwege erfassen in großer Hallecse - 20 Kommentare

Testumgebung bauen (Grundlegend)prplemk2 - 19 Kommentare

HP Z620 USB hat kein Strom beim Startenaufdemmars - 17 Kommentare

Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 Kommentare

Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 Kommentare

Entwicklertagebuch: Release 6.4 - Filteradmtech - 13 Kommentare

Switch ohne STP ins Netzwerkmaisenkaiser - 13 Kommentare

Zertifikate in die Exchange Online GAL hochladenJudgelg - 13 Kommentare

FB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare