IPsec Gateway mit racoon
Hallo, ich hab folgendes problem. ich versuche mit racoon ein ipsec-gateway
einzurichten! über diese gateway möchte ich in ein anderes netz zugreifen. der client
ist ebenfalls eine linux kiste, allerdings läuft dort fedora.
homenetzRacoongateway
fedora :10.20.2.130 --- Debian:eth0:10.20.2.111
Fremdnetz
Tunneleth1: 192.168.64.5
192.168.64.0
Es soll also ein tunnel von 10.20.2.130 zu 10.20.2.111 eingerichtet werden. IPforward
sowie NAT sind aktiviert, da man vom homenet ja das fremdnetz erreichen möchte. Auch
der Tunnelaufbau klappt wunderbar, allerdings nur, wenn ich explizit einen Ping bzw.
eine verbindung zwischen 10.20.2.130 und 10.20.2.111 aufbauen möchte.
Ein Ping zu 192.168.64.x läuft allerdings komplett unverschlüsslet über die Leitung,
ich möchte aber logischerweise, dass dieser bis zum gateway durch den Tunnel läuft.
ipsec.conf für racoon gateway:
#config fuer 10.20.2.111
log debug2;
path pre_shared_key /usr/local/etc/racoon/psk.txt;
remote 10.20.2.130 {
exchange_mode main;
my_identifier address 10.20.2.111;
peers_identifier address 10.20.2.130;
lifetime time 2 hours;
initial_contact off;
passive off;
proposal_check claim;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group modp1024 ;
}
}
sainfo address 10.20.2.111 [any] any address 10.20.2.130 [any] any {
pfs_group 2;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
sainfo address 10.20.2.130 [any] any address 10.20.2.111 [any] any {
pfs_group 2;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
setkey.conf:
#setkey fuer 10.20.2.111
flush;
spdflush;
# src dest
spdadd 10.20.2.130 10.20.2.111 any -P in ipsec
esp/tunnel/10.20.2.130-10.20.2.111/require;
# src dest
spdadd 10.20.2.111 10.20.2.130 any -P out ipsec
esp/tunnel/10.20.2.111-10.20.2.130/require;
habe mich jetzt schon ne ganze weile durch google gewühlt und leider nicht passendes
gefunden. ich nehme einfach an, dass man in der racoon.conf nicht explizit die beiden
10er adressen angeben darf, da racoon so nicht versteht, dass auch die pakete für das
fremde netz bis zum gateway durch den tunnel müsse, deshalb geht es dann
unverschlüsselt über die leitung. leiter finde ich keine lösung für dieses problem.
danke schonmal für eure hilfe.
Nutze ich diese config sagen die logs folgendes.
failed to get sainfo.
failed to get sainfo.
failed to pre-process packet.
mfg und danke
benny stoll
Re: IPsec Gateway mit racoon
On Tue, Oct 12, 2004 at 10:46:35AM +0200, Stoll, Benjamin wrote: homenetz Racoongateway fedora :10.20.2.130 --- Debian:eth0:10.20.2.111 Fremdnetz Tunneleth1: 192.168.64.5 192.168.64.0 Es soll also ein tunnel von 10.20.2.130 zu 10.20.2.111 eingerichtet werden. IPforward sowie NAT sind aktiviert, da man vom homenet ja das fremdnetz erreichen möchte. Auch der Tunnelaufbau klappt wunderbar, allerdings nur, wenn ich explizit einen Ping bzw. eine verbindung zwischen 10.20.2.130 und 10.20.2.111 aufbauen möchte. Ein Ping zu 192.168.64.x läuft allerdings komplett unverschlüsslet über die Leitung, ich möchte aber logischerweise, dass dieser bis zum gateway durch den Tunnel läuft. Du willst routen. route add -net 192.168.64.0 netmask 255.255.255.0 gw 10.20.2.111 cu ulf -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Re: IPsec Gateway mit racoon
danke für die antwort. die routen sind allerdings schon eingetragen und alle netzte sind OHNE ipsec zu erreichen. das problem liegt daran, dass racoon die datenpakete nicht durch den tunnel schickt, wenn ich auf ein fremdes netz zugreifen will. der tunnel wird nur zwischen gateway und meinem homenetz aufgebaut, wenn ich den gateway direkt anspreche. bei einer verbindung ins fremde netz 192.168.64.x geht es zwar über den gateway ins fremde netz, aber total unverschlüsselt :( gruß benny
Re: IPsec Gateway mit racoon
Hallo, Stoll, Benjamin wrote: danke für die antwort. die routen sind allerdings schon eingetragen und alle netzte sind OHNE ipsec zu erreichen. das problem liegt daran, dass racoon die datenpakete nicht durch den tunnel schickt, wenn ich auf ein fremdes netz zugreifen will. der tunnel wird nur zwischen gateway und meinem homenetz aufgebaut, wenn ich den gateway direkt anspreche. bei einer verbindung ins fremde netz 192.168.64.x geht es zwar über den gateway ins fremde netz, aber total unverschlüsselt :( ich habe keine Ahnung von Racoon, ich verwende freeswan. Was mich allerdings verwundert, wieso schaltest du NAT an für die Tunnelverbindung? (falls ich das deinem Originalposting richtig entnommen habe). Ich schalte expliziet das NAT für die beiden Subnetze aus, da die routing decision iirc nach dem NAT getroffen wird und somit die lokale IP Adresse bestehen bleiben muss damit sie durch den Tunnel geroutet werden kann. Vielleicht ist das ja der Fehler. MfG Markus Schulz -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: IPsec Gateway mit racoon
Markus Schulz wrote: Ich schalte expliziet das NAT für die beiden Subnetze aus, da die routing decision iirc nach dem NAT getroffen wird und somit die lokale IP Adresse bestehen bleiben muss damit sie durch den Tunnel geroutet werden kann. Vielleicht ist das ja der Fehler. ich meinte natürlich: für das jeweils gegenüberliegende Subnetz wird das NAT umgangen. MfG Markus Schulz -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
