Moin,
ich betreibe einen IPSec Tunnel zwischen einer OpenBSD 3.3 -
(isakmpd) und einer FreeBSD 4.8 Kiste (racoon) zur Sicherung einer
Funkstrecke. Verschlüsselt wird der Traffic aus einem Subnetz (DMZ)
in die Welt. Jetzt soll ein zweites Subnetz hinzugefügt werden und
ich habe dabei ein Problem mit isakmpd. Es funktioniert immer nur
einer der beiden Tunnel vollständig nämlich der, auf dem als erstes
Traffic generiert wird. Die Richtung von FreeBSD nach OpenBSD
funktioniert mit beiden Tunneln nur die Rückrichtung funktioniert
nur mit einem. Man könne also sagen, 75% laufen. ;-)
Hier meine Konfiguration
isakmpd.conf
[General]
Policy-File= /etc/isakmpd/isakmpd.policy
Retransmits=5
Exchange-max-time=120
Listen-on=192.168.9.9
[Phase 1]
192.168.9.11= bullet
[Phase 2]
Connections= DMZ-WORLD,PUB-WORLD
[bullet]
Phase= 1
Transport= udp
Address= 192.168.9.11
Configuration= Default-main-mode
Authentication= geheim
[DMZ-WORLD]
Phase= 2
ISAKMP-peer= bullet
Configuration= Default-quick-mode
Local-ID= DMZ-NET
Remote-ID= WORLD-NET
[PUB-WORLD]
Phase= 2
ISAKMP-peer= bullet
Configuration= Default-quick-mode
Local-ID= PUB-NET
Remote-ID= WORLD-NET
[DMZ-NET]
ID-type= IPV4_ADDR_SUBNET
Network= 192.168.0.0
Netmask= 255.255.255.0
[PUB-NET]
ID-type= IPV4_ADDR_SUBNET
Network= 212.21.92.152
Netmask= 255.255.255.248
[WORLD-NET]
ID-type= IPV4_ADDR_SUBNET
Network= 0.0.0.0
Netmask= 0.0.0.0
[Default-main-mode]
DOI= IPSEC
EXCHANGE_TYPE= ID_PROT
Transforms= 3DES-SHA
[Default-quick-mode]
DOI= IPSEC
EXCHANGE_TYPE= QUICK_MODE
Suites= QM-ESP-AES-SHA-PFS-SUITE
racoon
spdadd 192.168.0.0/24 0.0.0.0/0 any -P in ipsec
esp/tunnel/192.168.9.9-192.168.9.11/require;
spdadd 0.0.0.0/0 192.168.0.0/24 any -P out ipsec
esp/tunnel/192.168.9.11-192.168.9.9/require;
spdadd 212.21.92.152/29 0.0.0.0/0 any -P in ipsec
esp/tunnel/192.168.9.9-192.168.9.11/require;
spdadd 0.0.0.0/0 212.21.92.152/29 any -P out ipsec
esp/tunnel/192.168.9.11-192.168.9.9/require;
Hat jemand eine Idee? Ist die Konfiguration unvollständig?
Vielen Dank
Matthias
-- Matthias Teege -- http://www.mteege.de make world not war PGP-Key auf Anfrage To Unsubscribe: send mail to majordomo.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Fri 10 Oct 2003 - 08:35:50 CEST