
zur Info
nach meinen ersten Tests funktioniert es doch

Ich habe den Kernel: 2.6.8-2-686
Installiert danach ging es

Franz Pammer

Am Freitag, 14. Januar 2005 16:40 schrieb Franz Pammer:
> Hallo Liste,
> Ich habe mir eine Testumgebung aufgebaut die so aussieht
> ---------------------------
> |  LAN     |
> ---------------------------
> --------------------
> |      |
> | Router1 DMZ      |
> |    |
> --------------------
> --------------------
> |    |
> | VPN Server       |
> |    |
> --------------------
> --------------------
> |    |
> | Router2          |
> |     |
> --------------------
> ----------------------
> | (eth1) |
> | Router3 mit NAT    |
> |      |
> ----------------------
> -------------------
> | |
> | VPN Client      |
> -------------------
> Der VPN Server und der VPN Client sind jeweils ein Debian Sarge System mit
> Kernel: 2.4.27-1-686
> openswan 2.2.0-4
> openswan-modules-2.4.27-1-686 2.2.0-4+2.4.27-6
> Wenn ich den Tunnel vom VPN Client zum VPN Server aufbaue, ohne NAT,
> funktioniert alles wunderbar. Es lassen sich Daten übertragen (ping
> Der Ping geht duch den Tunnel ich habe es mit tcpdump gerüft
> am VPN Server
> -------------
> tcpdump -i ipsec0 -n
> tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
> listening on ipsec0, link-type EN10MB (Ethernet), capture size 96 bytes
> 16:32:08.224537 IP > icmp 64: echo request
> seq 1 16:32:08.225077 IP > icmp 64: echo
> reply seq 1 -------------
> Nur wenn ich das NAT auf Router3 aktiviere lässt sich der Tunnel aufbauen,
> aber es werden keine Daten übertragen (kein ping möglich)
> Ich habe diesbezüglich auch schon Google gequält nur leider nichts gefunden
> (eventuell habe ich falsch gesucht)
> Ich hoffe das ihr mir weiterhelfen könnt.
> Hier noch weitere Details
> Am NAT Router3 habe ich das NAT aktiviert:
> iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
> Es sind keine weiteren FW-Regeln auf den Routern aktive!
> VPN aufbau vom Client:
> ipsec auto --verbose --up linuxn
> 002 "linuxn" #6: initiating Main Mode
> 104 "linuxn" #6: STATE_MAIN_I1: initiate
> 003 "linuxn" #6: received Vendor ID payload [Dead Peer Detection]
> 003 "linuxn" #6: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
> 002 "linuxn" #6: enabling possible NAT-traversal with method RFC XXXX
> (NAT-Traversal)
> 002 "linuxn" #6: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
> 106 "linuxn" #6: STATE_MAIN_I2: sent MI2, expecting MR2
> 003 "linuxn" #6: NAT-Traversal: Result using
> draft-ietf-ipsec-nat-t-ike-02/03: i am NATed
> 002 "linuxn" #6: I am sending my cert
> 002 "linuxn" #6: I am sending a certificate request
> 002 "linuxn" #6: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
> 108 "linuxn" #6: STATE_MAIN_I3: sent MI3, expecting MR3
> 002 "linuxn" #6: Peer ID is ID_DER_ASN1_DN: 'C=AT, ST=Austria, L=Hart,
> O=KNAPP, CN=vpn-server, [EMAIL PROTECTED]'
> 002 "linuxn" #6: transition from state STATE_MAIN_I3 to state STATE_MAIN_I4
> 002 "linuxn" #6: ISAKMP SA established
> 004 "linuxn" #6: STATE_MAIN_I4: ISAKMP SA established
> 002 "linuxn" #7: initiating Quick Mode
> 112 "linuxn" #7: STATE_QUICK_I1: initiate
> 002 "linuxn" #7: Dead Peer Detection (RFC 3706) enabled
> 002 "linuxn" #7: transition from state STATE_QUICK_I1 to state
> STATE_QUICK_I2 002 "linuxn" #7: sent QI2, IPsec SA established
> {ESP=>0xc7137932 <0x8cddcdeb IPCOMP=>0x000045db <0x00003a5a NATOA=}
> 004 "linuxn" #7: STATE_QUICK_I2: sent QI2, IPsec SA established
> {ESP=>0xc7137932 <0x8cddcdeb IPCOMP=>0x000045db <0x00003a5a NATOA=}
> Das NAT-T wurde erkannt und der Tunnel ist UP.
> ipsec.conf VPN Server
> ----------snip------------
> version 2.0
> config setup
>     interfaces="ipsec0=eth1"
>     # Debug-logging controls:  "none" for (almost) none, "all" for lots.
>     # klipsdebug=none
>     # plutodebug="control parsing"
>     #klipsdebug=all
>     klipsdebug=none
>     #plutodebug=all
>     plutodebug="control"
>     #
>     nat_traversal=yes
>     virtual_private=%v4:,%v4:,%v4:!,
> %v4:!
>     crlcheckinterval=600
>     strictcrlpolicy=yes
> conn linuxn
>     authby=rsasig
>     keyingtries=1
>     compress=yes
>     dpddelay=120
>     dpdtimeout=370
>     dpdaction=clear
>     #
>     left=
>     leftnexthop=
>     leftsubnet=
>     leftcert=vpn-server-cert.pem
>     leftrsasigkey=%cert
> leftid="/C=AT/ST=Austria/L=Hart/O=KNAPP/CN=vpn-server/emailAddress=franz.pa
>     right=%any
>     rightrsasigkey=%cert
>     rightsubnet=vhost:%no,%priv
>     auto=add
> ----------snip------------
> ipsec.conf VPN Client
> ----------snip------------
> version 2.0 # conforms to second version of ipsec.conf specification
> # basic configuration
> config setup
>     interfaces="%defaultroute"
>     # Debug-logging controls:  "none" for (almost) none, "all" for lots.
>     # klipsdebug=none
>     # plutodebug="control parsing"
>     klipsdebug=none
>     plutodebug="control"
>     #
>     nat_traversal=yes
>     virtual_private=%v4:,%v4:,%v4:!,
> %v4:!
>     crlcheckinterval=600
>     strictcrlpolicy=yes
>     authby=rsasig
>     keyingtries=0
>     compress=yes
>     dpddelay=120
>     dpdtimeout=370
>     dpdaction=clear
>     #
>     left=
>     leftnexthop=
>     leftsubnet=
>     #leftcert=vpn-server-cert.pem
>     leftrsasigkey=%cert
> leftid="/C=AT/ST=Austria/L=Hart/O=KNAPP/CN=vpn-server/emailAddress=franz.pa
>     right=%defaultroute
>     rightcert=vpn-client-cert.pem
>     rightrsasigkey=%cert
>     #rightsubnet=vhost:%no,%priv
> rightid="/C=AT/ST=Austria/L=Hart/O=KNAPP/CN=vpn-client/emailAddress=franz.p
>[EMAIL PROTECTED]" auto=add
> ----------snip------------
> Danke für eure hilfe.
> Franz Pammer

Reply via email to