Re: ipsec VPN

From: Peter Wullinger <some-mail-drop(at)gmx.net>
Date: Sun, 28 Nov 2004 12:48:23 +0100



In epistula a Thomas Beer, die horaque Sat, Nov 27, 2004 at 01:46:27PM +0100:


> Hi,


> 


> ich versuch gerade einen ipsec Tunnel zwischen FBSD und XP


> aufzubauen. racoon sagt IPSec-SA established: ESP/Tunnel 192. ....


> Ich kann von beiden Rechnern den anderen Pingen, bekomme


> aber eine Zeitüberschreitung. Tcpdump am wi interface zeigt


> mir ESP Packete, die Firewall auf beiden Seiten lässt die


> Packete durch. Unabhängig davon ob ich einen gif Tunnel


> aufbaue gifconfig 192.168.2.2 192.168.2.8 (letztere XP)


> oder nicht ändert sich nichts dran. arp -a erkennt sämtliche


> MAC's korrekt. 



Ist jetzt vielleicht eine unverschämte oder dumme Frage, aber:


Was willst du mit dem gif-tunnel genau?



Vielleicht wäre eine kleine ASCII-Art-Zeichung mit


der Konfiguration sinnvoll.



Die Ausgabe von



% setkey -D


% setkey -DP



auf FreeBSD und die Ausgabe von



% ipseccmd show all



auf Windows (ohne eventuelle Shared-Secrets natürlich ;-)) wäre


nicht schlecht.



 


> Wo kann ich denn ansetzen für weiteres Troubleshooting?



Wenn isakmp korrekt funktioniert (sollte, schließlich bekommst du eine


IPsec-SA. Diese übrigens nicht mit einer isakmp-SA verwechseln), dann


wird die Fehlerbehebung ein wenig obskur, da alles verschlüsselt läuft


und die Protokolstacks auch nicht mitteilen, warum sie ein Paket genau


abgelehnt haben.



Ich gehe dann immer wie folgt vor:



% tcpdump -vvvv -i <if>


rechnerB% ping rechnerB



In den ESP-Paketen nachprüfen, ob die SA-Identifier übereinstimmen



rechnerA% ping rechnerB



In den ESP-Paketen nachprüfen, ob die SA-Identifier übereinstimmen



Sollten die übereinstimmen, kann es eigentlich nur noch ein 


Firewall-Problem sein.



Werkzeuge und Anleitungen:



Für Windows:



http://support.microsoft.com/default.aspx?scid=kb;en-us;257225


http://www.microsoft.com/windows2000/techinfo/planning/security/ipsecsteps.asp


http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/ipsecmd.mspx



Für FreeBSD:



% man setkey



Gruß,


        Peter


 



-- 
The whole GNU/Linux movement just behaves as if 30 years of user
interface design research never had happened.
	-- Angelo Schneider
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Sun 28 Nov 2004 - 12:48:51 CET













search this site