Mein IPSec Tunnel will nicht

From: Matthias Teege <matthias-dbsdq(at)mteege.de>
Date: Thu, 9 Jan 2003 09:24:09 +0100

Moin,

leider bekomme ich meine IPSec Tunnel nicht zum laufen und brauche
deshalb etwas Hilfe. Das Netzwerk sieht so aus:

192.168.0.0/24 -| |- internet
                - 192.168.9.9 - - - 192.168.9.11 -
                  OpenBSD/ster FreeBSD/bullet
                  isakmpd racoon

Zwischen den Routern 192.168.9.9 und 192.168.9.11 befindet sich eine
WLAN Strecke und ich möchte gerne den gesamten Datenverkehr zwischen
den beiden Rechner verschlüsseln. Laut Logfile finden die Rechner »no
suitable policy«. Es kommen aber noch eine Menge anderer Fehler.

Die isakmpd Konfiguration sieht wie folgt aus:

isakmpd.conf
[General]
Policy-File= /etc/isakmpd/isakmpd.policy
Retransmits=5
Exchange-max-time=120
Listen-on=192.168.9.9

[Phase 1]
192.168.9.11=ISAKMP-peer-bullet
Default=ISAKMP-peer-bullet

[Phase 2]
Connections=IPSEC-ster-bullet

[ISAKMP-peer-bullet]
Phase=1
Transport=udp
Local-address=192.168.9.9
Address=192.168.9.11
Configuration=Default-main-mode
Authentication=mekmitasdigoat

#auth Phase 2
[IPSEC-ster-bullet]
Phase=2
ISAKMP-peer=ISAKMP-peer-bullet
Configuration=Default-quick-mode
Local-ID=net-ster
Remote-ID=net-bullet

# net behind OpenBSD
[net-ster]
ID-type=IPV4_ADDR_SUBNET
Network=192.168.0.0
Netmask=255.255.255.0

# net behind FreeBSD
[net-bullet]
ID-type=IPV4_ADDR_SUBNET
Network=0.0.0.0
Netmask=0.0.0.0

# Phase 1 ENC

[Default-main-mode]
DOI=IPSEC
EXCHANGE_TYPE=ID_PROT
Transforms=3DES-SHA,3DES-MD5

# Phase 2 ENC
[Default-quick-mode]
DOI=IPSEC
EXCHANGE_TYPE=QUICK_MODE
Suites=QM-ESP-AES-SHA-SUITE

ipsecadm flow -dst 192.168.9.9 -addr 192.168.0.0/24 0.0.0.0/0 -in -acquire
ipsecadm flow -src 192.168.9.9 -addr 0.0.0.0/0 192.168.0.0/24 -out -acquire

Auf der FreeBSD/racoon Seite habe ich folgendes gesetzt:
spdadd 192.168.0.0/24 0.0.0.0/0 any -P in ipsec
esp/tunnel/192.168.9.9-192.168.9.11;
spdadd 0.0.0.0/0 192.168.0.0/24 any -P out ipsec
esp/tunnel/192.168.9.11-192.168.9.9;

psk.txt
192.168.9.9 mekmitasdigoat
192.168.9.11 mekmitasdigoat

Vielen Dank
Matthias

-- 
Matthias Teege -- matthias@mteege.de -- http://www.mteege.de
make world not war
PGP-Key auf Anfrage
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 09 Jan 2003 - 09:25:19 CET

search this site