Re: IPSec für "road warrior" und Racoon

From: Peter Ross <Peter.Ross(at)alumni.tu-berlin.de>
Date: Tue, 17 Dec 2013 16:26:55 +1100 (EST)



Hallo,



> On Mon, 16 Dec 2013, Peter Ross wrote:


>


>> ich habe mein sechs+ Jahre altes Cisco-Modem entsorgt und muß nun eine neue 


>> VPN-Einwahl aufsetzen. Ich habe vor, daß auf einem FreeBSD-Rechner "enden" 


>> zu lassen und IPSec einzusetzen, welches wohl von Windows 7 und neuer "von 


>> Hause aus" unterstützt wird.



Das Zertifikat-Problem habe ich gelöst - Windows 7 möchte das als 


PKCS12-Paket vorfinden:



http://wiki.gentoo.org/wiki/IPsec_L2TP_VPN_server#Windows:_Correctly_installing_the_certificate_.28for_PKI_users.29



Nur bricht es mir immer bei Phase 1 ab, mit:



2013-12-17 15:58:06: [192.168.50.121] ERROR: failed to get valid proposal.


2013-12-17 15:58:06: [192.168.50.121] ERROR: failed to pre-process ph1 packet (side: 1, status 1).


2013-12-17 15:58:06: [192.168.50.121] ERROR: phase1 negotiation failed.



Dieses Problem scheint bekannt zu sein, ich finde das 1000fach, aber was 


ist die Lösung zur Verbindung zwischen FreeBSD und Windows7?



Ich habe hier die bevorzugten Modi von Windows 7 gesehen:



http://wiki.openwrt.org/doc/uci/racoon



Proposal Encryption 	Hash 	DH Group


#1 	aes 256 	sha1 	20


#2 	aes 128 	sha1 	19


#3 	aes 256 	sha1 	modp2048


#4 	3des 		sha1 	modp2048


#5 	3des 		sha1 	modp1024



und das deckt sich mit diesem Teil:



2013-12-17 15:58:06: ERROR: invalid DH group 20.


2013-12-17 15:58:06: ERROR: invalid DH group 19.



Also habe ich in der racoon.conf definiert:



         proposal {


                 authentication_method xauth_rsa_server;


                 encryption_algorithm 3des;


                 hash_algorithm sha1;


                 dh_group modp1024;


         }



(vorher auch mod02048 - mit gleichem Ergebnis)



Ich sehe auch



2013-12-17 15:58:06: DEBUG: trns#=5, trns-id=IKE


2013-12-17 15:58:06: DEBUG:   lifetime = 28800


2013-12-17 15:58:06: DEBUG:   lifebyte = 0


2013-12-17 15:58:06: DEBUG:   enctype = 3DES-CBC


2013-12-17 15:58:06: DEBUG:   encklen = 0


2013-12-17 15:58:06: DEBUG:   hashtype = SHA


2013-12-17 15:58:06: DEBUG:   authmethod = RSA signatures


2013-12-17 15:58:06: DEBUG:   dh_group = 1024-bit MODP group


2013-12-17 15:58:06: ERROR: no suitable proposal found.



Ich dachte, das wäre es.. Zur Windows-7-VPN-Verbindung: genannter Typ: 


"L2TP/IPSec" und "Use certifiacte for authentication".



Ich habe vor Ewigkeiten mit einem "road warrior"-Szenario mit FreeSWAN 


unter Linux gekämpft und war damals ziemlich frustriert.. dieses Mal 


scheint es mir ähnlich zu gehen.



Ich bin kurz davor, das alles hinzuwerfen und auf PPTP umzusteigen - das 


habe ich schon mal gemacht..



Irgendwelche Ideen, lauffähgige Konfigurationen etc?



Danke für alle Hinweise


Peter



To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org


with "unsubscribe de-bsd-questions" in the body of the message


Received on Tue 17 Dec 2013 - 06:27:54 CET













search this site