5
VPN Tunnel mit IPsec(l2tp) funktioniert nicht
Hallo Ihr VPN-Versteher
ich habe ein Problemchen.
In meinem Fall soll eine VPN-Verbindugn zwischen einer Linux-Maschine und einem Netgear fvg318 zustande kommen was leider nicht klappt.
Auf dem Linux-System wurde openswan installiert.
Konfig: ipsec.conf
version 2.0 # conforms to second version of ipsec.conf specification
#
#
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
#
nhelpers=0
#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf
#include /etc/ipsec.d/examples/umshoplue.conf
include /etc/ipsec.d/l2tp-psk.conf
Konfig: l2tp-psk.conf
conn name
rightsubnet=vhost:%priv
also=name-noNAT
conn name
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
type=transport
#
left=85.XX.XX.XX
#
leftnexthop=85.XX.XX.1
leftprotoport=17/1701
#
#
right=%any
rightprotoport=17/0
Konfig: ipsec.secrets
85.XX.XX.XX %any: "securekey"
Nach dem die obigen Datein konfiguriert worden sind, erstelle ich auf dem Router ein Policy und möchte nun die Verbindung starten.
Auf dem Linux-Rechner gebe ich den Befehl tail -f /var/log/auth.log ein, um zu sehen was passiert:
Folgendes erscheint:
Sep 29 15:24:18 NAME pluto[5845]: packet from 109.XX.XX.XX:500: ignoring unknown Vendor ID payload [810fa565f8ab14369105d706fbd57279]
Sep 29 15:24:18 NAME pluto[5845]: packet from 109.XX.XX.XX:500: initial Aggressive Mode message from 109.XX.XX.XX but no (wildcard) connection has been configured
Auszug aus dem Log des Routers:
2010-09-29 : INFO: accept a request to establish IKE-SA: 85.XX.XX.XX
2010-09-29 : INFO: Configuration found for 85.XX.XX.XX
2010-09-29 : INFO: Initiating new phase 1 negotiation: 109.XX.XX.XX[500]<=>85.XX:XX.XX[500]
2010-09-29 : INFO: Beginning Aggressive mode.
2010-09-29 : INFO: NAT-Traversal is Enabled
2010-09-29 : ERROR: Invalid SA protocol type: 0
2010-09-29 : ERROR: Phase 2 negotiation failed due to time up waiting for phase1.
Kann mir jemand evtl. sagen ob ich eine wichtige Konfiguration vergessen habe? Was gibt es noch zu beachten?
Gruß
AzubiLE
ich habe ein Problemchen.
In meinem Fall soll eine VPN-Verbindugn zwischen einer Linux-Maschine und einem Netgear fvg318 zustande kommen was leider nicht klappt.
Auf dem Linux-System wurde openswan installiert.
Konfig: ipsec.conf
- /etc/ipsec.conf - Openswan IPsec configuration file
- RCSID $Id: ipsec.conf.in,v 1.15.2.6 2006-10-19 03:49:46 paul Exp $
- This file: /usr/share/doc/openswan/ipsec.conf-sample
- Manual: ipsec.conf.5
version 2.0 # conforms to second version of ipsec.conf specification
- basic configuration
#
#
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
#
nhelpers=0
#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf
#include /etc/ipsec.d/examples/umshoplue.conf
include /etc/ipsec.d/l2tp-psk.conf
Konfig: l2tp-psk.conf
conn name
rightsubnet=vhost:%priv
also=name-noNAT
conn name
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
type=transport
#
left=85.XX.XX.XX
#
leftnexthop=85.XX.XX.1
leftprotoport=17/1701
#
#
right=%any
rightprotoport=17/0
Konfig: ipsec.secrets
- RCSID $Id: ipsec.secrets.proto,v 1.3.6.1 2005-09-28 13:59:14 paul Exp $
- This file holds shared secrets or RSA private keys for inter-Pluto
- authentication. See ipsec_pluto(8) manpage, and HTML documentation.
- RSA private key for this host, authenticating it to any other host
- which knows the public part. Suitable public keys, for ipsec.conf, DNS,
- or configuration of other implementations, can be extracted conveniently
- with "ipsec showhostkey".
85.XX.XX.XX %any: "securekey"
Nach dem die obigen Datein konfiguriert worden sind, erstelle ich auf dem Router ein Policy und möchte nun die Verbindung starten.
Auf dem Linux-Rechner gebe ich den Befehl tail -f /var/log/auth.log ein, um zu sehen was passiert:
Folgendes erscheint:
Sep 29 15:24:18 NAME pluto[5845]: packet from 109.XX.XX.XX:500: ignoring unknown Vendor ID payload [810fa565f8ab14369105d706fbd57279]
Sep 29 15:24:18 NAME pluto[5845]: packet from 109.XX.XX.XX:500: initial Aggressive Mode message from 109.XX.XX.XX but no (wildcard) connection has been configured
Auszug aus dem Log des Routers:
2010-09-29 : INFO: accept a request to establish IKE-SA: 85.XX.XX.XX
2010-09-29 : INFO: Configuration found for 85.XX.XX.XX
2010-09-29 : INFO: Initiating new phase 1 negotiation: 109.XX.XX.XX[500]<=>85.XX:XX.XX[500]
2010-09-29 : INFO: Beginning Aggressive mode.
2010-09-29 : INFO: NAT-Traversal is Enabled
2010-09-29 : ERROR: Invalid SA protocol type: 0
2010-09-29 : ERROR: Phase 2 negotiation failed due to time up waiting for phase1.
Kann mir jemand evtl. sagen ob ich eine wichtige Konfiguration vergessen habe? Was gibt es noch zu beachten?
Gruß
AzubiLE
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 152033
Url: https://administrator.de/contentid/152033
Ausgedruckt am: 23.11.2024 um 12:11 Uhr
5 Kommentare
Neuester Kommentar
Der NetGear supportet gar kein L2TP !
http://www.netgear.de/Produkte/Router/Wireless/FVG318/index.html
Da wirst du also generell schon mal scheitern. Dein Log sagt das auch ganz deutlich: "2010-09-29 : ERROR: Invalid SA protocol type: 0"
NetGear, einer der übelsten Vertreter in der VPN Welt, supportet ausschliesslich nur VPNs mit IPsec im ESP Modus !
Vergiss das also mit Openswan wenn die kein IPsec ESP supporten.
Installier dir lieber den Shrew VPN Client auf deinem Linux Host:
http://www.shrew.net/download/ike
und sieh dir das netGear HowTo an wie man das zum Fliegen bringt:
http://www.shrew.net/support/wiki/HowtoNetgear
Da Shrew auch mit OpenSWAN funktioniert:
http://www.shrew.net/support/wiki/HowtoOpenSwan
sollte OpenSWAN dann eigentlich auch IPsec / ESP können. Vielleicht hast du nur einfach die falschen Parameter eingestellt und solltest mal die aus dem Shrew HowTo verwenden. L2TP geht de facto nicht mit dem NetGear Geraffel.
http://www.netgear.de/Produkte/Router/Wireless/FVG318/index.html
Da wirst du also generell schon mal scheitern. Dein Log sagt das auch ganz deutlich: "2010-09-29 : ERROR: Invalid SA protocol type: 0"
NetGear, einer der übelsten Vertreter in der VPN Welt, supportet ausschliesslich nur VPNs mit IPsec im ESP Modus !
Vergiss das also mit Openswan wenn die kein IPsec ESP supporten.
Installier dir lieber den Shrew VPN Client auf deinem Linux Host:
http://www.shrew.net/download/ike
und sieh dir das netGear HowTo an wie man das zum Fliegen bringt:
http://www.shrew.net/support/wiki/HowtoNetgear
Da Shrew auch mit OpenSWAN funktioniert:
http://www.shrew.net/support/wiki/HowtoOpenSwan
sollte OpenSWAN dann eigentlich auch IPsec / ESP können. Vielleicht hast du nur einfach die falschen Parameter eingestellt und solltest mal die aus dem Shrew HowTo verwenden. L2TP geht de facto nicht mit dem NetGear Geraffel.
Danke für die Antwort.
In dem HowTo wird es so beschrieben, dass die Linux-Maschine der Client ist, es soll ja aber eine Verbindung vom Router zur Linux-Maschine
aufgebaut werden. Sprich der Router ist der Initiator und die Linux-Maschine "wartet" auf die Verbindungsanfrage.
Gruß
AzubiLE
In dem HowTo wird es so beschrieben, dass die Linux-Maschine der Client ist, es soll ja aber eine Verbindung vom Router zur Linux-Maschine
aufgebaut werden. Sprich der Router ist der Initiator und die Linux-Maschine "wartet" auf die Verbindungsanfrage.
Gruß
AzubiLE
Ist doch das gleiche in grün wie oben. Wenn das VPN Protokoll nicht stimmt kommen die niemals zueinander !
Die Openswan Konfig muss dann in jedem Falle IPsec/ESP sprechen !
Die Openswan Konfig muss dann in jedem Falle IPsec/ESP sprechen !
Ok mit dem Link: http://www.shrew.net/support/wiki/HowtoNetgear kann ich versuchen den Router zu konfigurieren
was mache ich aber mit der Beispielkonfiguration von http://www.shrew.net/support/wiki/HowtoOpenSwan#OpenSwanSetup,
da wird ja mit Zertifikaten gearbeitet, ich möchte das aber mit PSK realisieren oder hab ich da jetzt was falsch verstanden?
Gruß
AzubiLE
was mache ich aber mit der Beispielkonfiguration von http://www.shrew.net/support/wiki/HowtoOpenSwan#OpenSwanSetup,
da wird ja mit Zertifikaten gearbeitet, ich möchte das aber mit PSK realisieren oder hab ich da jetzt was falsch verstanden?
Gruß
AzubiLE
Das ist egal, das klappt auch mit Preshared Keys problemlos !
