Hallo Forum,
ich habe folgende Situation:
===============================
Netz A
(192.168.1.0/24)
===============================
|
===============================
VPN-GW-A (FreeS/WAN)
+
Firewall (auf SuSE 8.1)
(192.168.1.99/10.5.20.99)
===============================
|
===============================
SMC/Barricade
(10.5.20.1/PUB)
PUB = <xyz>.dyndns.org
===============================
|
-----------------------------
(Internet)
-----------------------------
|
===============================
PUB = <abc>.dyndns.org
NETGEAR/RP614
(PUB/192.168.0.1)
===============================
|
===============================
VPN-GW-B (FreeS/WAN)
+
Firewall (auf SuSE 8.1)
(192.168.0.10/192.168.23.100)
===============================
|
===============================
Netz B
(192.168.23.0/24)
===============================
####### < VPN-GW-A > #########
#/etc/ipsec.conf
config setup
interfaces="ipsec0=eth0"
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes
conn %default
compress=yes
authby=rsasig
keyingtries=0
pfs=yes
disablearrivalcheck=no
leftrsasigkey=%cert
rightrsasigkey=%cert
conn ntn
auto=add
left=10.5.20.99
leftnexthop=10.5.20.1
leftsubnet=192.168.1.0/24
leftcert=client-cert.pem
right=<abc>.dyndns.org
rightsubnet=192.168.23.0/24
rightnexthop=192.168.0.1
rightcert=freeswan-cert.pem
##############################
###### < VPN-GW-B > ##########
#/etc/ipsec.conf
config setup
interfaces="ipsec0=eth0"
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes
conn %default
compress=yes
authby=rsasig
keyingtries=0
pfs=yes
disablearrivalcheck=no
leftrsasigkey=%cert
rightrsasigkey=%cert
conn ntn
auto=add
left=192.168.0.10
leftnexthop=192.168.0.1
leftsubnet=192.168.23.0/24
leftcert=freeswan-cert.pem
right=<xyz>.dyndns.org
rightsubnet=192.168.1.0/24
rightnexthop=10.5.20.1
rightcert=client-cert.pem
##############################
Beide DSL-Router machen VPN Passthroughn und leiten Anfragen an Port 500,
an die GW's weiter.
Verbindung von VPN-GW-B starten :
dc1:~ # ipsec auto --up ntn
104 "ntn" #1: STATE_MAIN_I1: initiate
106 "ntn" #1: STATE_MAIN_I2: sent MI2, expecting MR2
108 "ntn" #1: STATE_MAIN_I3: sent MI3, expecting MR3
004 "ntn" #1: STATE_MAIN_I4: ISAKMP SA established
112 "ntn" #2: STATE_QUICK_I1: initiate
004 "ntn" #2: STATE_QUICK_I2: sent QI2, IPsec SA established
dc1:~ #
dc1:~ # route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.23.0 * 255.255.255.0 U 0 0 0 eth1
192.168.1.0 192.168.0.1 255.255.255.0 UG 0 0 0 ipsec0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
192.168.0.0 * 255.255.255.0 U 0 0 0 ipsec0
default 192.168.0.1 0.0.0.0 UG 0 0 0 eth0
dc1:~ #
und auf der anderen Seite :
fw:~ # tail -f /var/log/messages
Jul 17 16:06:14 fw pluto[2005]: "ntn" #1: responding to Main Mode
Jul 17 16:06:15 fw pluto[2005]: "ntn" #1: Peer ID is ID_DER_ASN1_DN: 'C=DE, ST=RLP, L=Mainz, O=BitsnBites, CN=FreeSWAN Certificate, E=fc@bitsnbites.de'
Jul 17 16:06:15 fw pluto[2005]: "ntn" #1: sent MR3, ISAKMP SA established
Jul 17 16:06:15 fw pluto[2005]: "ntn" #2: responding to Quick Mode
Jul 17 16:06:16 fw pluto[2005]: "ntn" #2: IPsec SA established
fw:~ # route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.23.0 10.5.20.1 255.255.255.0 UG 0 0 0 ipsec0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
10.5.20.0 * 255.255.255.0 U 0 0 0 eth0
10.5.20.0 * 255.255.255.0 U 0 0 0 ipsec0
default 10.5.20.1 0.0.0.0 UG 0 0 0 eth0
fw:~ #
Anmerkung:
Ich habe mal zu Testzwecken, zwei Netze über zwei GW's mit den gleichen /etc/ipsec.conf, verbunden.
Das hat mit ausgeschalteter Firewall auch funktioniert. Konnte auch GROSSE Datenmengen durch den Tunnel schaufeln.
Jetzt zu meinem Problem:
Mit ausgeschalteten GW-Firewalls, in der Produktiv-Umgebung mit den zwei DSL-Routern, bekomme ich nichts durch den Tunnel.
Ping, egal aus welchem Subnetz herraus funzt nicht.
yoda@orion:~> ping 192.168.1.100
PING 192.168.1.100 (192.168.1.100) 56(84) bytes of data.
--- 192.168.1.100 ping statistics ---
33 packets transmitted, 0 received, 100% packet loss, time 32016ms
yoda@orion:~>
Wie gesagt, laut Herstellerangaben machen beide DSL-Router VPN Passthrough.
Woran liegt's also ???????????
Greez nils
Probleme mit VPN (FreeS/WAN)
-
Michael
Re: Probleme mit VPN (FreeS/WAN)
Das Problem kann unterschiedlichste Ursachen haben.
1. Vorschlag. Bei ausgeschalteter Firewall kann z.B.
das forwarding deaktiviert sein, die Pakete werden
einfach nicht auf das andere Interface weitergeleitet.
2. Vorschlag. Folg doch einfach mal mit Tools wie iptraf
oder tcpdump den Paketen auf jeden einzelnen Hop und schau
erst mal auf welchem Rechner genau sie hängen bleiben.
Cheers
Michael
1. Vorschlag. Bei ausgeschalteter Firewall kann z.B.
das forwarding deaktiviert sein, die Pakete werden
einfach nicht auf das andere Interface weitergeleitet.
2. Vorschlag. Folg doch einfach mal mit Tools wie iptraf
oder tcpdump den Paketen auf jeden einzelnen Hop und schau
erst mal auf welchem Rechner genau sie hängen bleiben.
Cheers
Michael
-
Michael
Re: Probleme mit VPN (FreeS/WAN)
Noch ne Idee.
Der default mode von ipsec ist Tunnel. Du wolltest passthrough. Dann stellt das doch auch
ein.
man ipsec.conf
type
the type of the connection; currently the accepted values are tunnel (the default) signifying a host-to-host, host-to-subnet, or subnet-to-subnet tunnel; transport, signifying host-to-host transport mode; and passthrough (supported only for manual keying), signifying that no IPsec processing should be done at all
Und, hilfst's?
Cheers
Michael
Der default mode von ipsec ist Tunnel. Du wolltest passthrough. Dann stellt das doch auch
ein.
man ipsec.conf
type
the type of the connection; currently the accepted values are tunnel (the default) signifying a host-to-host, host-to-subnet, or subnet-to-subnet tunnel; transport, signifying host-to-host transport mode; and passthrough (supported only for manual keying), signifying that no IPsec processing should be done at all
Und, hilfst's?
Cheers
Michael
-
Nils
Re: Probleme mit VPN (FreeS/WAN)
Hallo Michael,
hier mal ein paar Reaktionen auf ein ping aus Netz B nach Netz A
dc1:~ # tcpdump -i eth0
tcpdump: listening on eth0
15:37:28.630267 dc1.bitsnbites.net > p50841362.dip.t-dialin.net: ESP(spi=0x71a80c69,seq=0x29b)
15:37:29.632244 dc1.bitsnbites.net > p50841362.dip.t-dialin.net: ESP(spi=0x71a80c69,seq=0x29c)
15:37:30.633727 dc1.bitsnbites.net > p50841362.dip.t-dialin.net: ESP(spi=0x71a80c69,seq=0x29d)
15:37:31.635353 dc1.bitsnbites.net > p50841362.dip.t-dialin.net: ESP(spi=0x71a80c69,seq=0x29e)
15:37:32.636603 dc1.bitsnbites.net > p50841362.dip.t-dialin.net: ESP(spi=0x71a80c69,seq=0x29f)
15:37:33.638238 dc1.bitsnbites.net > p50841362.dip.t-dialin.net: ESP(spi=0x71a80c69,seq=0x2a0)
dc1:~ # tcpdump -i ipsec0
tcpdump: listening on ipsec0
15:39:46.705560 unknown ip 0
15:39:47.852307 unknown ip 0
15:39:48.853874 unknown ip 0
15:39:49.855579 unknown ip 0
15:39:50.857082 unknown ip 0
dc1:~ # iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
dc1:~ #
dc1:~ # route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.23.0 * 255.255.255.0 U 0 0 0 eth1
192.168.1.0 192.168.0.1 255.255.255.0 UG 0 0 0 ipsec0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
192.168.0.0 * 255.255.255.0 U 0 0 0 ipsec0
default 192.168.0.1 0.0.0.0 UG 0 0 0 eth0
dc1:~ #
dc1:~ # cat /proc/sys/net/ipv4/ip_forward
1
dc1:~ #
auf der anderen seite kommt nichts an:
fw:~ # tcpdump -i ipsec0
tcpdump: listening on ipsec0
any ideas ????????????
greez nils
hier mal ein paar Reaktionen auf ein ping aus Netz B nach Netz A
dc1:~ # tcpdump -i eth0
tcpdump: listening on eth0
15:37:28.630267 dc1.bitsnbites.net > p50841362.dip.t-dialin.net: ESP(spi=0x71a80c69,seq=0x29b)
15:37:29.632244 dc1.bitsnbites.net > p50841362.dip.t-dialin.net: ESP(spi=0x71a80c69,seq=0x29c)
15:37:30.633727 dc1.bitsnbites.net > p50841362.dip.t-dialin.net: ESP(spi=0x71a80c69,seq=0x29d)
15:37:31.635353 dc1.bitsnbites.net > p50841362.dip.t-dialin.net: ESP(spi=0x71a80c69,seq=0x29e)
15:37:32.636603 dc1.bitsnbites.net > p50841362.dip.t-dialin.net: ESP(spi=0x71a80c69,seq=0x29f)
15:37:33.638238 dc1.bitsnbites.net > p50841362.dip.t-dialin.net: ESP(spi=0x71a80c69,seq=0x2a0)
dc1:~ # tcpdump -i ipsec0
tcpdump: listening on ipsec0
15:39:46.705560 unknown ip 0
15:39:47.852307 unknown ip 0
15:39:48.853874 unknown ip 0
15:39:49.855579 unknown ip 0
15:39:50.857082 unknown ip 0
dc1:~ # iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
dc1:~ #
dc1:~ # route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.23.0 * 255.255.255.0 U 0 0 0 eth1
192.168.1.0 192.168.0.1 255.255.255.0 UG 0 0 0 ipsec0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
192.168.0.0 * 255.255.255.0 U 0 0 0 ipsec0
default 192.168.0.1 0.0.0.0 UG 0 0 0 eth0
dc1:~ #
dc1:~ # cat /proc/sys/net/ipv4/ip_forward
1
dc1:~ #
auf der anderen seite kommt nichts an:
fw:~ # tcpdump -i ipsec0
tcpdump: listening on ipsec0
any ideas ????????????
greez nils
-
Nils
Re: Probleme mit VPN (FreeS/WAN)
ok computer.....
Problem gelöst.
es lag zum ersten, auf der A-Seite(Netz A) am DSL-Router(SMC Barricade). Ich habe den VPN-GW-A in die DMZ gehängt(DSL-Router-DMZ), da das IPSEC Passthrough erst durch ein fimware-update zu verfügung steht. Ausserdem habe ich das updown-script von http://www.nadmm.com/show.php?story=articles/vpn.inc in beide ipsec.conf's
eingefügt. (Firewall!)
Auf der B-Seite(Netz B) hat das IPSEC Passthrough gefunzt.
greez nils
Problem gelöst.
es lag zum ersten, auf der A-Seite(Netz A) am DSL-Router(SMC Barricade). Ich habe den VPN-GW-A in die DMZ gehängt(DSL-Router-DMZ), da das IPSEC Passthrough erst durch ein fimware-update zu verfügung steht. Ausserdem habe ich das updown-script von http://www.nadmm.com/show.php?story=articles/vpn.inc in beide ipsec.conf's
eingefügt. (Firewall!)
Auf der B-Seite(Netz B) hat das IPSEC Passthrough gefunzt.
greez nils