Freeswan-IPSec-Win2k - Routing
Hi, ich habe ein Problem, und zwar habe ich eine Firewall auf Basis von Debian (stable) mit 3 Interfaces aufgebaut. eth0 = (im Moment noch nicht in Benutzung) eth1 (10.50.70.112) = Internes Netz (10.50.70.0/24) eth2 (192.168.0.1) = externes Netz mit AccessPoints (WLAN) Auf der Firewall läuft ein Kernel 2.4.22 mit mppe und ipsec(2.02)-Patches und ein PPTP und ein IPSEC-Server. Gäste, die per PPTP authentifiziert werden, dürfen nur auf den lokalen Squid, das funktioniert auch schon. Gäste, die per IPSEC auf die Firewall kommen, sollen in das interne Netz geroutet werden, um sich dort am Server zu authentifizieren und die Netzwerk-Ressourcen mitzubenutzen. Die IPSEC-Implementierung läuft schon soweit, dass ich nach einer Weile des Pingens (IP Sicherheitsrichtlinien werden ausgehandelt) eine Verbindung mit der Firewall ausgehandelt wird. Das sehe ich am Windoof-Tool ipsecmon. Doch dann schwenkt der Ping um nach (Zeitüberschreitung der Anforderung). Nun bin ich mir fast sicher, dass die Firewall irgendwas blockt... Am Laufen habe ich die Shorewall 1.4.7 und habe auch das Howto von Shorewall durchgemacht, den Tunnel definiert, Port 500 UDP in beide Richtungen freigegeben und die beiden Protokolle AH und ESP freigegeben, außerdem den Weg für die Firewall ins lokale Netz geebnet, doch irgendwie kommt der Ping nicht durch. Nun die Frage, was muss ich noch tun, damit der externe Rechner, der seine IP vom DHCP-Server auf der Firewall empfängt (192.168.0.254 - 2) in das lokale Netz integriert wird und vollständig für alle sichtbar ist? Ich habe auch schon gegoogelt und auch einige Fragen gefunden, aber die Antworten haben mir leider nicht geholfen. Nun hoffe ich auf eure Hilfe... Beste Grüße, Manuel == Powered by SQWebmail -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Debian iptables und Freeswan/IPSec
Hallo alle miteinander, als vorbemerkung habe schon gegoogelt, allerhand ausprobiert und trotzdem ein Problem: habe einen Rechner mit debian unstable der als Gateway ins Internet fungieren soll. dahinter ab ich ein wlan und die entsprechenden Clients. des wlan soll per vpn gesichert werden, dh. zwischen Clients und Gateway muss ne Ipsec-Verbindung herhalten. Ipsec läuft auf allen Maschinen. alles gepatcht usw. Das eigentliche Problem ist das routing. Korrigiert mich wenn ich Blech erzähl... :-) Habe die Routen bisher masquiert (über bastille). dann klappt die vpn Verbindung wunderbar, so wie ich es mir vorstelle, nur leider kann auch jeder ohne vpn am surfvergnügen teilhaben... :-( Da ich mich mit iptables überhaupt nicht auskenne gerade in Verbindung mit ipsec aber auch nichts passendes gefunden habe, hoffe ich das ihr da vielleicht etwas Praxis habt um mir weiterzuhelfen. Nochmal grafisch meine Konfiguration: Laptop- Client (debian unstable) 192.168.0.10 wlan0 / /wlan mit vpn / Gateway- (debian unstable) 192.168.0.1 eth0 / /isdn / Internet Es wäre schön wenn die clients ins Internet gehen könnten und die Dienste der Gateway benutzen können ssh usw. Bin für jede Hilfe dankbar, sitze nämlich schonwieder seit 1 Woche hier und raufe mir die Haare. MfG. Martin -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian iptables und Freeswan/IPSec
On Wed, Sep 10, 2003 at 08:44:48AM +0200, Martin Heinrich wrote: Hallo alle miteinander, Laptop- Client (debian unstable) 192.168.0.10 wlan0 / /wlan mit vpn / Gateway- (debian unstable) 192.168.0.1 eth0 / /isdn / Internet Die Clients haben doch nicht nur das wlan0, sondern auch ipsec0, ebenso wie der Server, oder? Dann könnte es ganz grob etwa so aussehen: iptables -t nat -A POSTROUTING -o ippp0 -j MASQUERADE iptables -A FORWARD -i ipsec+ -o ippp0 -j ACCEPT iptables -A FORWARD -i ippp0 -m state --state ESTABLISHED,RELATED -o ipsec+ -j ACCEPT iptables -A FORWARD -j LOG --log-prefix FW not forwarded: iptables -A FORWARD -j DROP Damit dürfte, was über eth0 reinkommt und weiter forwardet werden will, einfach nicht forwardet werden. Best regards from Dresden Viele Gruesse aus Dresden Heiko Schlittermann -- SCHLITTERMANN.de -- internet unix support - a href=http://debian.schlittermann.de/; Debian 3.x CD /a Heiko Schlittermann HS12-RIPE --- pgp: A1 7D F6 7B 69 73 48 35 E1 DE 21 A7 A8 9A 77 92 --- gpg: 3061 CFBF 2D88 F034 E8D2 7E92 EE4E AC98 48D0 359B - -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian iptables und Freeswan/IPSec
On Wednesday 10 September 2003 08:52, Heiko Schlittermann wrote: On Wed, Sep 10, 2003 at 08:44:48AM +0200, Martin Heinrich wrote: Hallo alle miteinander, Laptop- Client (debian unstable) 192.168.0.10 wlan0 / /wlan mit vpn / Gateway- (debian unstable) 192.168.0.1 eth0 / /isdn / Internet Die Clients haben doch nicht nur das wlan0, sondern auch ipsec0, ebenso wie der Server, oder? Hast du natürlich vollkommen recht! Dann könnte es ganz grob etwa so aussehen: iptables -t nat -A POSTROUTING -o ippp0 -j MASQUERADE iptables -A FORWARD -i ipsec+ -o ippp0 -j ACCEPT iptables -A FORWARD -i ippp0 -m state --state ESTABLISHED,RELATED -o ipsec+ -j ACCEPT iptables -A FORWARD -j LOG --log-prefix FW not forwarded: iptables -A FORWARD -j DROP Damit dürfte, was über eth0 reinkommt und weiter forwardet werden will, einfach nicht forwardet werden. Best regards from Dresden Viele Gruesse aus Dresden Heiko Schlittermann -- SCHLITTERMANN.de -- internet unix support - a href=http://debian.schlittermann.de/; Debian 3.x CD /a Heiko Schlittermann HS12-RIPE --- pgp: A1 7D F6 7B 69 73 48 35 E1 DE 21 A7 A8 9A 77 92 --- gpg: 3061 CFBF 2D88 F034 E8D2 7E92 EE4E AC98 48D0 359B - Habs grad probiert und bin hin und weg!!! :-D Das Problem mit dem Routing ins Internet nur über den VPN-Kanal scheint gelöst! Vielen Dank!!! Hast du zufällig auch ne Idee wie ich auf die serverdienste des Gateway zugreifen kann? Das heisst bei bestehender vpn verbindung sowohl ins Internet als auch auf 192.168.0.1 direkt zugreifen kann? macht er nur bei deaktivierten ipsecs. Komisch ist, wenn ipsec auf dem gateway aktiviert ist und ich per client eine vpn verbindung hergestellt hatte, auf dem client dann ipsec stoppe kann ich trotzdem keinen ping oder ssh usw. auf das gateway herstellen, ich muss dort erst ipsec stoppen bevor ich wieder normal arbeiten kann? Weisst du warum? und als letzte Frage... :-D hab gemerkt das diese regeln leider nicht reichen um das Gateway von aussen unsichtbar zu machen. d.h. eigentlich will ich sämtlichen Verkehr von aussen auf das gateway unterdrücken und alle ports deaktivieren. auch alle ports vom wlan bis auf vpn +ssl sollen vom internen bereich nicht benutzbar sein. Wenn du irgendwo nen guten deutschsprachigen Link hast, war ich dir auch sehr dankbar... Vielen Dank nochmal für deine Mühen, ich finds richtig klasse, dass das so klappt mit den Mailing-Listen! Cu. Martin -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian iptables und Freeswan/IPSec
On Wed, 10 Sep 2003 11:21:38 +0200 Martin Heinrich [EMAIL PROTECTED] wrote: On Wednesday 10 September 2003 08:52, Heiko Schlittermann wrote: On Wed, Sep 10, 2003 at 08:44:48AM +0200, Martin Heinrich wrote: Hallo alle miteinander, Laptop- Client (debian unstable) 192.168.0.10 wlan0 / /wlan mit vpn / Gateway- (debian unstable) 192.168.0.1 eth0 / /isdn / Internet Die Clients haben doch nicht nur das wlan0, sondern auch ipsec0, ebenso wie der Server, oder? Hast du natürlich vollkommen recht! Dann könnte es ganz grob etwa so aussehen: iptables -t nat -A POSTROUTING -o ippp0 -j MASQUERADE iptables -A FORWARD -i ipsec+ -o ippp0 -j ACCEPT iptables -A FORWARD -i ippp0 -m state --state ESTABLISHED,RELATED -o ipsec+ -j ACCEPT iptables -A FORWARD -j LOG --log-prefix FW not forwarded: iptables -A FORWARD -j DROP Damit dürfte, was über eth0 reinkommt und weiter forwardet werden will, einfach nicht forwardet werden. Best regards from Dresden Viele Gruesse aus Dresden Heiko Schlittermann -- SCHLITTERMANN.de -- internet unix support - a href=http://debian.schlittermann.de/; Debian 3.x CD /a Heiko Schlittermann HS12-RIPE --- pgp: A1 7D F6 7B 69 73 48 35 E1 DE 21 A7 A8 9A 77 92 --- gpg: 3061 CFBF 2D88 F034 E8D2 7E92 EE4E AC98 48D0 359B - Habs grad probiert und bin hin und weg!!! :-D Das Problem mit dem Routing ins Internet nur über den VPN-Kanal scheint gelöst! Vielen Dank!!! Hast du zufällig auch ne Idee wie ich auf die serverdienste des Gateway zugreifen kann? Das heisst bei bestehender vpn verbindung sowohl ins Internet als auch auf 192.168.0.1 direkt zugreifen kann? macht er nur bei deaktivierten ipsecs. Komisch ist, wenn ipsec auf dem gateway aktiviert ist und ich per client eine vpn verbindung hergestellt hatte, auf dem client dann ipsec stoppe kann ich trotzdem keinen ping oder ssh usw. auf das gateway herstellen, ich muss dort erst ipsec stoppen bevor ich wieder normal arbeiten kann? Weisst du warum? Etwas zu diesem Thema findest Du hier: http://www.pro-linux.de/news/2003/5364.html Gruß CHristian -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian iptables und Freeswan/IPSec
On Wednesday 10 September 2003 16:35, Christian Schubert wrote: On Wed, 10 Sep 2003 11:21:38 +0200 Martin Heinrich [EMAIL PROTECTED] wrote: On Wednesday 10 September 2003 08:52, Heiko Schlittermann wrote: On Wed, Sep 10, 2003 at 08:44:48AM +0200, Martin Heinrich wrote: Hallo alle miteinander, Laptop- Client (debian unstable) 192.168.0.10 wlan0 / /wlan mit vpn / Gateway- (debian unstable) 192.168.0.1 eth0 / /isdn / Internet Die Clients haben doch nicht nur das wlan0, sondern auch ipsec0, ebenso wie der Server, oder? Hast du natürlich vollkommen recht! Dann könnte es ganz grob etwa so aussehen: iptables -t nat -A POSTROUTING -o ippp0 -j MASQUERADE iptables -A FORWARD -i ipsec+ -o ippp0 -j ACCEPT iptables -A FORWARD -i ippp0 -m state --state ESTABLISHED,RELATED -o ipsec+ -j ACCEPT iptables -A FORWARD -j LOG --log-prefix FW not forwarded: iptables -A FORWARD -j DROP Damit dürfte, was über eth0 reinkommt und weiter forwardet werden will, einfach nicht forwardet werden. Best regards from Dresden Viele Gruesse aus Dresden Heiko Schlittermann -- SCHLITTERMANN.de -- internet unix support - a href=http://debian.schlittermann.de/; Debian 3.x CD /a Heiko Schlittermann HS12-RIPE --- pgp: A1 7D F6 7B 69 73 48 35 E1 DE 21 A7 A8 9A 77 92 --- gpg: 3061 CFBF 2D88 F034 E8D2 7E92 EE4E AC98 48D0 359B - Habs grad probiert und bin hin und weg!!! :-D Das Problem mit dem Routing ins Internet nur über den VPN-Kanal scheint gelöst! Vielen Dank!!! Hast du zufällig auch ne Idee wie ich auf die serverdienste des Gateway zugreifen kann? Das heisst bei bestehender vpn verbindung sowohl ins Internet als auch auf 192.168.0.1 direkt zugreifen kann? macht er nur bei deaktivierten ipsecs. Komisch ist, wenn ipsec auf dem gateway aktiviert ist und ich per client eine vpn verbindung hergestellt hatte, auf dem client dann ipsec stoppe kann ich trotzdem keinen ping oder ssh usw. auf das gateway herstellen, ich muss dort erst ipsec stoppen bevor ich wieder normal arbeiten kann? Weisst du warum? Etwas zu diesem Thema findest Du hier: http://www.pro-linux.de/news/2003/5364.html Gruß CHristian Danke Christian, hat bei mir leider auf die schnelle nicht gefunzt mit der direkten Verbindung zum Gateway... muss ich in Ruhe nochmal probieren. Trotzdem danke für den Link... :-D Schönen Abend wünscht Martin -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Freeswan/IPSec
Guten Morgen, ich habe Probleme mit dem Aufbau eines VPN. Ich versuche es erstmal nur Testweise. Also von meinem internen Rechner (hort)auf mein Laptop, welches eine statische IP hat. Auf einem Rechner läuft Debian Woody mit Kernel 2.4.18 und auf Laptop Debian Sid Kernel 2.4.20. Freeswan ist gepatcht und Kernel sind neu kompiliert. Mit ifconfig sehe ich das ipsec0 Interface. Auf beiden PC's. Mit iptraf kann ich nur auf Laptop ipsec0 auswählen laptop:# iptraf -i ipsec0 hort:# iptraf -i ipsec0 hort:# Specified interface not supported Da ist doch schon irgendwas faul.? ein tail -f /var/log/syslog bringt folgendes währen eines /etc/init.d/ipsec restart: auf Laptop: Jun 16 10:43:10 laptop ipsec_setup: Stopping FreeS/WAN IPsec... Jun 16 10:43:11 laptop kernel: IPSEC EVENT: KLIPS device ipsec0 shut down. Jun 16 10:43:12 laptop ipsec_setup: ...FreeS/WAN IPsec stopped Jun 16 10:43:12 laptop ipsec_setup: Starting FreeS/WAN IPsec 1.99... Jun 16 10:43:12 laptop ipsec_setup: KLIPS debug `none' Jun 16 10:43:12 laptop ipsec_setup: KLIPS ipsec0 on eth0 xxx.yyy.zzz.16/255.255.255.128 broadcast xxx.yyy.zzz.255 Jun 16 10:43:12 laptop ipsec_setup: ...FreeS/WAN IPsec started auf hort: Jun 16 10:44:54 hort ipsec_setup: Stopping FreeS/WAN IPsec... Jun 16 10:44:57 hort ipsec_setup: ...FreeS/WAN IPsec stopped Jun 16 10:44:58 hort ipsec_setup: Starting FreeS/WAN IPsec 1.99... Jun 16 10:44:58 hort ipsec_setup: KLIPS debug `none' Jun 16 10:44:58 hort ipsec_setup: KLIPS ipsec0 on eth0 192.168.1.250/255.255.255.0 broadcast 192.168.1.255 Jun 16 10:44:59 hort ipsec_setup: ...FreeS/WAN IPsec started Jun 16 10:45:00 hort ipsec__plutorun: 003 both sides of roadwarrior are our interface eth0! meine ipsec.confs: auf laptop: config setup interfaces=%defaultroute klipsdebug=none plutodebug=none plutoload=%search plutostart=%search uniqueids=yes conn %default keyingtries=1 compress=yes disablearrivalcheck=no authby=rsasig leftrsasigkey=%cert rightrsasigkey=%cert conn roadwarrior leftsubnet=xxx.yyy.zzz.16/255.255.255.128 right=%any left=%defaultroute leftcert=laptop.domain.de.pem auto=add pfs=yes auf hort: config setup interfaces=%defaultroute klipsdebug=none plutodebug=none plutoload=%search plutostart=%search uniqueids=yes conn %default keyingtries=0 compress=yes disablearrivalcheck=no authby=rsasig leftrsasigkey=%cert rightrsasigkey=%cert conn roadwarrior left=192.168.1.250 leftsubnet=xxx.yyy.zzz.16/255.255.255.128 leftcert=hort.domain.de.pem right=%defaultroute rightcert=laptop.domain.de.pem auto=add pfs=yes meine ipsec.secrets: auf laptop: : RSA laptop.domain.de.key passwort auf hort: : RSA /etc/ipsec.d/private/hort.domain.de.key passwort HIER ist doch auf jeden Fall etwas verkehrt. Ich schreibe doch nicht das Passwort da rein oder was? Ist aber auf einer der vielen Dokus die ich schon durchhabe so erklärt. Ist sowieso überall anders erklärt. Wie mache ich die Zertifakate? Das auf hort und laptop. vi /etc/ssl/openssl.cnf change 'default_bits' from 1024 to 2048 change 'default_days' from 365 to 3650 vi /usr/lib/ssl/misc/CA.sh change 'DAYS=-days 365 to 3651 /usr/lib/ssl/misc/CA.sh -newca /usr/lib/ssl/misc/CA.sh -newreq /usr/lib/ssl/misc/CA.sh -sign mv newcert.pem laptop.domain.de.pem mv newreq.pem laptop.domain.de.key vi laptop.domain.de.key delete everything down from the line starting with '---BEGIN CERTIFICATE REQUEST' cp laptop.domain.de.key /etc/ipsec.d/private cp laptop.domain.de.pem /etc/ipsec.d/ cp cacert.pem /etc/ipsec.d/cacerts openssl ca -gencrl -out /etc/ipsec.d/crls/crl.pem Das gleiche auf hort +: hort:# scp [EMAIL PROTECTED]:/etc/ipsec.d/laptop.domain.de.pem /etc/ipsec.d So und nun will ich den VPN Link starten: auf hort: hort:# ipsec auto --up roadwarrior hort:# 022 roadwarrior: we have no ipsecN interface for either end of this connection auf laptop: laptop:# ipsec auto --up roadwarrior laptop:# 029 roadwarrior: cannot initiate connection without knowing peer IP address Ich schätze mal ich habe Fehler in der ipsec.conf. Habe schon vieles getestet. Ohne Erfolg. Werd noch bleede hiermit. Zwischen hort und laptop ist nur noch die Firewall 192.168.1.1 Für Hilfe wäre mal echt dankbar. Torsten -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Freeswan/IPSec
Torsten Puls schrieb: Auf einem Rechner läuft Debian Woody mit Kernel 2.4.18 und auf Laptop Debian Sid Kernel 2.4.20. Freeswan ist gepatcht und Kernel sind neu kompiliert. Mit welchen Patch? Patch und Userland sollten zueinander passen. D.h. immer den Patch der Distribution nehmen. Debian hat eine Reihe Erweiterungen (so in etwa a la SuperFreeswan) drin. Mit ifconfig sehe ich das ipsec0 Interface. Auf beiden PC's. Das heisst nur, dass das ipsec-Kernelmodul vorhanden ist. hort:# iptraf -i ipsec0 hort:# Specified interface not supported Da ist doch schon irgendwas faul.? Ja, iptraf ist etwas störrisch mit den Schnittstellen. Nimm tcpdump, das reicht um zu sehen, ob das Richige passiert. ein tail -f /var/log/syslog bringt folgendes währen eines /etc/init.d/ipsec restart: Jun 16 10:43:12 laptop ipsec_setup: KLIPS debug `none' Das sagt nicht viel, wenn kein Debugging eingeschaltet ist. Ausser, dass mir die Auflistung der Connections fehlt. klipsdebug=none plutodebug=none Hier mal Lesestoff aktivieren: =all conn roadwarrior left=192.168.1.250 leftsubnet=xxx.yyy.zzz.16/255.255.255.128 Das sieht falsch aus. Wäre jetzt zuerst ein Schaltbild der Verbindung sinnvoll. Inklusive IPs und Firewalls. Da wirst Du noch ein ziemliches konzeptionelles Kuddelmuddel haben, das zuerst strukturiert werden muss: IPSec geht nicht über NAT-Firewalls. Dazu braucht es den NAT-T Patch, der ist nicht in Woody, usw. auto=add Kannst Du auf dem Roadwarrior auch direkt starten pfs=yes Kannst Du weglassen, da sowieso Standardverhalten von Freeswan. Ist nur interessant, wenn man es explizit auf no haben muss. meine ipsec.secrets: : RSA /etc/ipsec.d/private/hort.domain.de.key passwort HIER ist doch auf jeden Fall etwas verkehrt. Ich schreibe doch nicht das Passwort da rein oder was? Doch das ist richtig. Es kommt das Passwort rein, dass Du beim Generieren der Zertifikate gewählt hast. ipsec.secrets sollte daher nur für root lesbar sein. Wie mache ich die Zertifakate? vi /etc/ssl/openssl.cnf vi /usr/lib/ssl/misc/CA.sh Sieht bei kurzem Überfliegen auch gut aus. Wenn man mehr als zwei Zertifikate hat, lohnt es sich openssl.cnf noch etwas ausführlicher zu bearbeiten (Defaultwerte) und die Pfade der CA auf eigene Werte zu setzen. -- [EMAIL PROTECTED] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)