8
Site-To-Site IPsec-VPN mit OpenSwan Server und Draytek Router funktioniert nicht
Hallo Zusammen,
ich versuche derzeit einen OpenSwan-Server mit IPsec VPN aufzubauen.
Gegeben sind ein Debian Squeeze Server ein Draytek Vigor 2000.
Die Rechner aus dem Draytek-Netz sollen eine Verbindung zum OpenSwan-Server aufbauen.
Server: eth0: 1.2.3.4 eth1 10.0.128.100
Draytek: eth0: 5.6.7.8 eth1 192.168.1.1
Beide externen Adressen sind Fest und direkt am Internet also kein Router davor.
Es soll sich über ein PSK Authentifiziert werden.
Hier meine ipsec.conf:
version 2.0 # conforms to second version of ipsec.conf specification
plutoopts="--perpeerlog"
virtual_private=%v4:!10.0.128.0/24
nat_traversal=yes
protostack=netkey
conn test
type= tunnel
authby= secret
auto= start
pfs= no
ike= aes256-shal;modp1024!
phase2alg= aes256-shal;modp1024
aggrmode= no
left= 5.6.7.8
right= 1.2.3.4
leftsubnet= 192.168.1.0/24
rightsubnet= 10.0.128.0/24
meine ipsec.secrets Datei:
5.6.7.8 1.2.3.4: PSK "meinpsk"
Wenn ich die VPN starte lädt er anscheind alle Configs aber ich bekomme diese Meldung immer und immer wieder:
packet from 5.6.7.8:500: initial Main Mode message received on 1.2.3.4:500 but no connection has been authorized with policy=PSK
Was mach ich falsch??
- /etc/ipsec.conf - Openswan IPsec configuration file
- This file: /usr/share/doc/openswan/ipsec.conf-sample
- Manual: ipsec.conf.5
version 2.0 # conforms to second version of ipsec.conf specification
- basic configuration
plutoopts="--perpeerlog"
virtual_private=%v4:!10.0.128.0/24
nat_traversal=yes
protostack=netkey
conn test
type= tunnel
authby= secret
auto= start
pfs= no
ike= aes256-shal;modp1024!
phase2alg= aes256-shal;modp1024
aggrmode= no
left= 5.6.7.8
right= 1.2.3.4
leftsubnet= 192.168.1.0/24
rightsubnet= 10.0.128.0/24
meine ipsec.secrets Datei:
5.6.7.8 1.2.3.4: PSK "meinpsk"
Wenn ich die VPN starte lädt er anscheind alle Configs aber ich bekomme diese Meldung immer und immer wieder:
packet from 5.6.7.8:500: initial Main Mode message received on 1.2.3.4:500 but no connection has been authorized with policy=PSK
Was mach ich falsch??
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 192972
Url: https://administrator.de/contentid/192972
Printed on: April 20, 2024 at 01:04 o'clock
8 Comments
Latest comment
Hi ISAEDV,
die Konfig des Draytek sehen wir zwar nicht, sollte aber passend sein, oder?
Wenn du beide direkt im Internet hast, ohne Router davor, dann kannst du NAT-T ausschalten.
Ob es das aber ist, glaube ich nicht.
Teste doch mal den Agressive Mode.
Dieser ist zwar weniger sicher aber soll wohl zwischen verschiedenen Herstellern bessere Interoperabilität bringen.
Auch mal Testweise 3DES an Stelle von AES256 Verschlüsselung probieren.
Ansonsten testen, testen, testen oder auf @aqui hoffen.
die Konfig des Draytek sehen wir zwar nicht, sollte aber passend sein, oder?
Wenn du beide direkt im Internet hast, ohne Router davor, dann kannst du NAT-T ausschalten.
Ob es das aber ist, glaube ich nicht.
Teste doch mal den Agressive Mode.
Dieser ist zwar weniger sicher aber soll wohl zwischen verschiedenen Herstellern bessere Interoperabilität bringen.
Auch mal Testweise 3DES an Stelle von AES256 Verschlüsselung probieren.
Ansonsten testen, testen, testen oder auf @aqui hoffen.
...einen Fehler sieht man gleich: Du darfst nicht den Aggressive Mode abschalten ! Bei Herstellerfremden VPNs mit IPsec ist der Aggressive Mode Pflicht.
Tipp bevor wir hier ins eingemachte gehen:
Lad dir von der Draytek Downloads Utilities Page den Syslog Server runter und aktiviere Syslog im Draytek.
Dann loggst du einen Connect Session mit, dann wissen wir meist sofort woran es liegt !!
Agressive Mode nicht vergessen und ggf. NAT Traversal
Sitzt der Debian hinter einem NAT (Adress Translation) Router ??
Wenn ja musst du noch mit Port Forwarding arbeiten das bzw. NAT Traversal aktivieren !
Ggf. hilft dir noch DAS hier:
http://www.codexsoftware.co.uk/blog/computers/openswan-lan-to-lan-ipsec ...
Zitat von @aqui:
...einen Fehler sieht man gleich: Du darfst nicht den Aggressive Mode abschalten ! Bei Herstellerfremden VPNs mit IPsec ist der
Aggressive Mode Pflicht.
Tipp bevor wir hier ins eingemachte gehen:
Lad dir von der Draytek Downloads Utilities Page den Syslog Server runter und aktiviere Syslog im Draytek.
Dann loggst du einen Connect Session mit, dann wissen wir meist sofort woran es liegt !!
Agressive Mode nicht vergessen und ggf. NAT Traversal
Sitzt der Debian hinter einem NAT (Adress Translation) Router ??
...einen Fehler sieht man gleich: Du darfst nicht den Aggressive Mode abschalten ! Bei Herstellerfremden VPNs mit IPsec ist der
Aggressive Mode Pflicht.
Tipp bevor wir hier ins eingemachte gehen:
Lad dir von der Draytek Downloads Utilities Page den Syslog Server runter und aktiviere Syslog im Draytek.
Dann loggst du einen Connect Session mit, dann wissen wir meist sofort woran es liegt !!
Agressive Mode nicht vergessen und ggf. NAT Traversal
Sitzt der Debian hinter einem NAT (Adress Translation) Router ??
Hallo Zusammen,
hatte jetzt erst wieder Zeit damit weiterzumachen. Also aggressive Mode hab ich aktiviert und den Syslog-Server installiert. Dieser sagt mir:
Initiatiion IKE Aggressivre Mode to (ip openswan server)
Responding to Aggressive Mode from (ip openswan server)
Dialing Node1 (test) : (ip openswan server)
DebianServer sitzt hinter einer Firewall. Dort ist aber alles freigegeben. Auch wenn ich diese deaktiviere komme ich genauso weit.
Am Debian-Server sagt er mir folgendes:
Quick Mode message is unacceptable becuase it is for an incomplete ISAKMP SA
payload malformed after IV
packet rejected should have been encrypted
Denke ich mir jetzt das eine Seite seine Pakete nicht verschlüsselt...
Auf dem Draytek hab ich jetzt Aggressive Mode auf
3DES_MD5_G2
das müsste auf dem OpenSwan doch ike=3des-md5;modp1024 sein oder?
Für Phase 2 hab ich auf dem Draytek:
Hohe Sicherheit ESP
3DES (authentifiziert)
Das die Dinger auch so empfindlich sein müssen... danke erstmal für Euren Rat!
Mahlzeit
Zitat von @ISAEDV:
Am Debian-Server sagt er mir folgendes:
Quick Mode message is unacceptable becuase it is for an incomplete ISAKMP SA
payload malformed after IV
packet rejected should have been encrypted
Denke ich mir jetzt das eine Seite seine Pakete nicht verschlüsselt...
Das klingt auf jeden Fall so.Am Debian-Server sagt er mir folgendes:
Quick Mode message is unacceptable becuase it is for an incomplete ISAKMP SA
payload malformed after IV
packet rejected should have been encrypted
Denke ich mir jetzt das eine Seite seine Pakete nicht verschlüsselt...
DebianServer sitzt hinter einer Firewall. Dort ist aber alles freigegeben.
Werden denn auch die relevanten Ports für IPSEC-VPN von der Firewall zum OpenSwan weitergeleitet?
*Luftsprung*
Ich habs! Wieder einmal merke ich, dass man ganz ruhig rangehen muss. Die Fehlermeldung sind eig. eindeutig wenn man sich konzentriert ;)
Ich musste wieder auf Main-Mode stellen und dann explizit auf 3DES-MD5_G2 (was für 3DES-MD5;modp1024 steht) stellen.
Da passte es sofort.
Vielen Dank an euch Beiden
Ich habs! Wieder einmal merke ich, dass man ganz ruhig rangehen muss. Die Fehlermeldung sind eig. eindeutig wenn man sich konzentriert ;)
Ich musste wieder auf Main-Mode stellen und dann explizit auf 3DES-MD5_G2 (was für 3DES-MD5;modp1024 steht) stellen.
Da passte es sofort.
Vielen Dank an euch Beiden
Schön, dass es jetzt klappt.
Und jetzt würde ich dir empfehlen, noch zu testen, ob es nicht die Möglichkeit der AES-Verschlüsselung mit dem Agressive Mode gibt.
3DES ist nun mal nicht ganz so sicher.
Und jetzt würde ich dir empfehlen, noch zu testen, ob es nicht die Möglichkeit der AES-Verschlüsselung mit dem Agressive Mode gibt.
3DES ist nun mal nicht ganz so sicher.
goscho, kannst du deine beiden Tipps bitte mal ganz genau begründen?
Was genau ist sicherer an der Verschlüsselung mit 3DES? Warum den Aggressive Mode?
Was genau ist sicherer an der Verschlüsselung mit 3DES? Warum den Aggressive Mode?
Zitat von @104286:
goscho, kannst du deine beiden Tipps bitte mal ganz genau begründen?
Was genau ist sicherer an der Verschlüsselung mit 3DES? Warum den Aggressive Mode?
Der agressiv mode ist der eigentlich kompatiblere Modus bei IPSEC-VPNs unterschiedlicher Hersteller.goscho, kannst du deine beiden Tipps bitte mal ganz genau begründen?
Was genau ist sicherer an der Verschlüsselung mit 3DES? Warum den Aggressive Mode?
AES ist der offizielle Nachfolger von DES bei Verschlüsselung:
Wikipedia: AES
