Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

l2tp over Ipsec vpn op asus rt-n66u

Pagina: 1
Acties:

woensdag 5 november 2014 17:26

Acties:
  • JDVB
  • Registratie: September 2003
  • Laatst online: 17-11 20:40

JDVB

✅ ⟵ vinkje

Topicstarter
Omdat ik een windows phone heb, en sinds kort de mogelijkheid daarop heb om een VPN verbinding te maken, wil ik hier gebruik van gaan maken.
Een VPN op mijn synology instellen zal wellicht niet heel moeilijk zijn, maar het gevolg van de open poorten gaat zijn dat deze niet of nauwelijks meer in system hybernation zal gaan.
Daarom dacht ik, ik zet het VPN op mijn router, met OpenVPN geen enkel probleem en werkt dit als een zonnetje.
Nu wil ik ditzelfde op mijn windows phone.

Om dit voor elkaar te krijgen heb ik deze handleiding gevolgd:
https://gist.github.com/dferg/50c378701a192bc8ce6a
Ik heb zelf alleen de AsusWRT firmware van Merlin draaien, waarop deze handleiding grotendeels ook op van toepassing lijkt.

Hoever ben ik gekomen:
Als ik vanuit mijn lan naar het locale IP verbind krijg ik nu direct een werkend VPN, zowel vanuit windows (desktop) als vanaf mijn mobiel.
Probeer ik te verbinden vanaf mijn extern IP, dan gaat het feestje helaas niet door en krijg ik geen enkele respons.

Mijn setup:
Het WWW <---> Prut modem van ISP <---> Asus RT-n66u <--> LAN
De portforwarding en firewall op het modem van het ISP hetzelfde ingesteld als voor OpenVPN, alleen dan voor de poorten 1701, 500 en 4500.

Op de RT-n66u zijn is dit de IPtables -L output:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  anywhere             anywhere
2    ACCEPT     udp  --  anywhere             anywhere            udp dpt:1194
3    ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
4    ACCEPT     all  --  anywhere             anywhere            state NEW
5    ACCEPT     all  --  anywhere             anywhere            state NEW
6    ACCEPT     udp  --  anywhere             anywhere            udp dpt:500
7    ACCEPT     udp  --  anywhere             anywhere            udp dpt:4500
8    ACCEPT     udp  --  anywhere             anywhere            udp dpt:1701
9    logdrop    all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
num  target     prot opt source               destination
1    ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
2    ACCEPT     all  --  anywhere             anywhere
3    logdrop    all  --  anywhere             anywhere
4    logdrop    all  --  anywhere             anywhere            state INVALID
5    ACCEPT     all  --  anywhere             anywhere
6    DROP       icmp --  anywhere             anywhere
7    ACCEPT     all  --  anywhere             anywhere            ctstate DNAT
8    ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain FUPNP (0 references)
num  target     prot opt source               destination

Chain PControls (0 references)
num  target     prot opt source               destination
1    ACCEPT     all  --  anywhere             anywhere

Chain logaccept (0 references)
num  target     prot opt source               destination
1    LOG        all  --  anywhere             anywhere            state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `ACCEPT '
2    ACCEPT     all  --  anywhere             anywhere

Chain logdrop (3 references)
num  target     prot opt source               destination
1    LOG        all  --  anywhere             anywhere            state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `DROP '
2    DROP       all  --  anywhere             anywhere


Voor xl2tpd heb ik de volgende debugging opties aangezet:
debug avp = yes
debug network = yes
debug packet = yes
debug state = yes
debug tunnel = yes
Maar wanneer ik een poging doe om te verbinden naar mijn extern IP adres, krijg ik geen enkele output in de logs.

De bootlog ziet er als volgt uit:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

Knip
...
Nov  5 16:42:25 xl2tpd[603]: Enabling IPsec SAref processing for L2TP transport mode SAs
Nov  5 16:42:25 xl2tpd[603]: IPsec SAref does not work with L2TP kernel mode yet, enabling force userspace=yes
Nov  5 16:42:25 xl2tpd[603]: setsockopt recvref[30]: Protocol not available
Nov  5 16:42:25 xl2tpd[603]: Not looking for kernel support.
Nov  5 16:42:25 xl2tpd[607]: xl2tpd version xl2tpd-1.3.6 started on RT-N66U PID:607
Nov  5 16:42:25 xl2tpd[607]: Written by Mark Spencer, Copyright (C) 1998, Adtran, Inc.
Nov  5 16:42:25 xl2tpd[607]: Forked by Scott Balmos and David Stipp, (C) 2001
Nov  5 16:42:25 xl2tpd[607]: Inherited by Jeff McAdams, (C) 2002
Nov  5 16:42:25 xl2tpd[607]: Forked again by Xelerance (www.xelerance.com) (C) 2006
Nov  5 16:42:25 xl2tpd[607]: Listening on IP address 0.0.0.0, port 1701
Nov  5 16:42:26 admin: Started xl2tpd from .
Nov  5 16:42:29 admin: Started racoon from .
...
Knip

...

Heeft iemand een idee hoe ik hiermee verder kom? Ik lijk zo dichtbij te zijn omdat het binnen het lan wel functioneert.

[ Voor 10% gewijzigd door JDVB op 05-11-2014 18:10 ]

zondag 23 november 2014 15:51

Acties:
  • JDVB
  • Registratie: September 2003
  • Laatst online: 17-11 20:40

JDVB

✅ ⟵ vinkje

Topicstarter
Ik had de usb stick waar ik alles opgezet had nu vervangen door een micro SD kaart die ik in de router ingebouwd heb.

De bootlog zoals deze op dit moment is:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34

Nov 23 15:28:02 xl2tpd[633]: Enabling IPsec SAref processing for L2TP transport mode SAs
Nov 23 15:28:02 xl2tpd[633]: IPsec SAref does not work with L2TP kernel mode yet, enabling force userspace=yes
Nov 23 15:28:02 xl2tpd[633]: setsockopt recvref[30]: Protocol not available
Nov 23 15:28:02 xl2tpd[633]: Not looking for kernel support.
Nov 23 15:28:02 admin: Started racoon from .
Nov 23 15:28:03 xl2tpd[662]: xl2tpd version xl2tpd-1.3.6 started on RT-N66U PID:662
Nov 23 15:28:03 xl2tpd[662]: Written by Mark Spencer, Copyright (C) 1998, Adtran, Inc.
Nov 23 15:28:03 xl2tpd[662]: Forked by Scott Balmos and David Stipp, (C) 2001
Nov 23 15:28:03 xl2tpd[662]: Inherited by Jeff McAdams, (C) 2002
Nov 23 15:28:03 xl2tpd[662]: Forked again by Xelerance (www.xelerance.com) (C) 2006
Nov 23 15:28:03 xl2tpd[662]: Listening on IP address 0.0.0.0, port 1701
Nov 23 15:28:03 racoon: INFO: @(#)ipsec-tools 0.8.2 (http://ipsec-tools.sourceforge.net)
Nov 23 15:28:03 racoon: INFO: @(#)This product linked OpenSSL 1.0.1i 6 Aug 2014 (http://www.openssl.org/)
Nov 23 15:28:03 racoon: INFO: Reading configuration from "/opt/etc/racoon.conf"
Nov 23 15:28:03 racoon: INFO: 2.2.2.2[500] used for NAT-T
Nov 23 15:28:03 racoon: INFO: 2.2.2.2[500] used as isakmp port (fd=8)
Nov 23 15:28:03 racoon: INFO: 2.2.2.2[4500] used for NAT-T
Nov 23 15:28:03 racoon: INFO: 2.2.2.2[4500] used as isakmp port (fd=9)
Nov 23 15:28:03 racoon: INFO: 1.1.1.1[500] used for NAT-T
Nov 23 15:28:03 racoon: INFO: 1.1.1.1[500] used as isakmp port (fd=10)
Nov 23 15:28:03 racoon: INFO: 1.1.1.1[4500] used for NAT-T
Nov 23 15:28:03 racoon: INFO: 1.1.1.1[4500] used as isakmp port (fd=11)
Nov 23 15:28:03 racoon: INFO: 172.16.0.1[500] used for NAT-T
Nov 23 15:28:03 racoon: INFO: 172.16.0.1[500] used as isakmp port (fd=12)
Nov 23 15:28:03 racoon: INFO: 172.16.0.1[4500] used for NAT-T
Nov 23 15:28:03 racoon: INFO: 172.16.0.1[4500] used as isakmp port (fd=13)
Nov 23 15:28:03 racoon: INFO: 127.0.0.1[500] used for NAT-T
Nov 23 15:28:03 racoon: INFO: 127.0.0.1[500] used as isakmp port (fd=14)
Nov 23 15:28:03 racoon: INFO: 127.0.0.1[4500] used for NAT-T
Nov 23 15:28:03 racoon: INFO: 127.0.0.1[4500] used as isakmp port (fd=15)
Nov 23 15:28:03 racoon: INFO: 127.0.0.0[500] used for NAT-T
Nov 23 15:28:03 racoon: INFO: 127.0.0.0[500] used as isakmp port (fd=16)
Nov 23 15:28:03 racoon: INFO: 127.0.0.0[4500] used for NAT-T
Nov 23 15:28:03 racoon: INFO: 127.0.0.0[4500] used as isakmp port (fd=17)


Wederom kan ik vanaf mijn lan zelf direct een verbinding maken, maar gaat het vanaf extern mis.

zondag 23 november 2014 16:02

Acties:
  • Thralas
  • Registratie: December 2002
  • Laatst online: 23:39

Thralas

Gebruik eens:

iptables -L -v


Dan kun je mogelijk aan de packet counters al zien waar het misloopt.

Plus, ik zie in je logs racoon niet listenen op een externe interface? Wel op 172.16.0.1, maar dan heb je NAT rules nodig en dat lijkt me onzinnig als je direct op een extern adres of 0.0.0.0 kan listenen.

zondag 23 november 2014 17:05

Acties:
  • JDVB
  • Registratie: September 2003
  • Laatst online: 17-11 20:40

JDVB

✅ ⟵ vinkje

Topicstarter
Thanks, ik ben een stapje verder.

Ik heb inderdaad een probleem met het firewall script in de install how-to.
Het script zoals het er nu staat:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

#!/bin/sh

# Add the IPsec/L2TP rules if they have not already been added
iptables-save | grep -- "-A INPUT -p udp -m udp --dport 500 -j ACCEPT" > /dev/null
if [ $? = 1 ]; then
    # Allow IPSEC connections
    iptables -A INPUT -p udp -m udp --dport 500 -j ACCEPT
    iptables -A INPUT -p udp -m udp --dport 4500 -j ACCEPT

    # Allow L2TP connections
    iptables -A INPUT -p udp -m udp --dport 1701 -j ACCEPT

fi

# If the logdrop rule exists, we need to move it to the end
#   - This helps if our manual rules were added (above).
#   - This also fixes what appears to be a Tomato bug. With some services,
#     like the PPTP server, their rules will be placed after the logdrop
#     rule. The result is incorrectly dropping packets for valid services.
iptables-save | grep -- "-A INPUT -j logdrop" > /dev/null
if [ $? = 0 ]; then
    # Get the number of the logdrop rule in the INPUT chain
    LINENUM=`iptables -L INPUT|grep -nr logdrop|cut -f 1 -d :`
    RULENUM=`expr $LINENUM - 2`

    # Delete the logdrop rule from the INPUT chain
    iptables -D INPUT $RULENUM

    # Readd the logdrop rule at the end of the INPUT chain
    iptables -A INPUT -j logdrop
fi

# Set manual policy (this is needed for clients behind nat, because racoon generates the wrong policy)
#
# Source: http://tomatousb.org/forum/t-625093/ipsec-l2tp-racoon-xl2tpd-tomato-shibby-asus-rt-n16
myServer=`nvram get wan_ipaddr`
ip xfrm policy add src $myServer dst 0.0.0.0/0 proto udp sport 1701 dir out tmpl proto esp mode transport level required
ip xfrm policy add src 0.0.0.0/0 dst $myServer proto udp dport 1701 dir in tmpl proto esp mode transport level required

de logdrop regel die naar het einde verplaatst zou moeten worden werd nu niet verplaatst.
Ik had deze er drie maal in staan, regel nummer 4 en 8 en als laatste.
Na de eerste twee te verwijderen via:
iptables -D INPUT 8
iptables -D INPUT 4

krijg ik nu de volgende output wanneer ik vanaf een extern IP probeer aan te melden:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113

Nov 23 16:48:05 racoon: INFO: respond new phase 1 negotiation: LOCAL_IP_FROM_ISP_MODEM[500]<=>CONNECTING_FROM[500]
Nov 23 16:48:05 racoon: INFO: begin Identity Protection mode.
Nov 23 16:48:05 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
Nov 23 16:48:05 racoon: INFO: received Vendor ID: RFC 3947
Nov 23 16:48:05 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Nov 23 16:48:05 racoon: INFO: received Vendor ID: FRAGMENTATION
Nov 23 16:48:05 racoon: [CONNECTING_FROM] INFO: Selected NAT-T version: RFC 3947
Nov 23 16:48:05 racoon: ERROR: invalid DH group 20.
Nov 23 16:48:05 racoon: ERROR: invalid DH group 19.
Nov 23 16:48:05 racoon: WARNING: the packet retransmitted in a short time from CONNECTING_FROM[500]
Nov 23 16:48:05 racoon: NOTIFY: the packet is retransmitted by CONNECTING_FROM[500] (1).
Nov 23 16:48:05 racoon: WARNING: the packet retransmitted in a short time from CONNECTING_FROM[500]
Nov 23 16:48:05 racoon: NOTIFY: the packet is retransmitted by CONNECTING_FROM[500] (1).
Nov 23 16:48:05 racoon: [LOCAL_IP_FROM_ISP_MODEM] INFO: Hashing LOCAL_IP_FROM_ISP_MODEM[500] with algo #2 
Nov 23 16:48:05 racoon: INFO: NAT-D payload #0 doesn't match
Nov 23 16:48:05 racoon: [CONNECTING_FROM] INFO: Hashing CONNECTING_FROM[500] with algo #2 
Nov 23 16:48:05 racoon: INFO: NAT-D payload #1 doesn't match
Nov 23 16:48:05 racoon: INFO: NAT detected: ME PEER
Nov 23 16:48:05 racoon: [CONNECTING_FROM] INFO: Hashing CONNECTING_FROM[500] with algo #2 
Nov 23 16:48:05 racoon: [LOCAL_IP_FROM_ISP_MODEM] INFO: Hashing LOCAL_IP_FROM_ISP_MODEM[500] with algo #2 
Nov 23 16:48:05 racoon: INFO: Adding remote and local NAT-D payloads.
Nov 23 16:48:06 racoon: [CONNECTING_FROM] ERROR: couldn't find the pskey for CONNECTING_FROM.
Nov 23 16:48:06 racoon: [CONNECTING_FROM] NOTIFY: Using default PSK.
Nov 23 16:48:06 racoon: INFO: NAT-T: ports changed to: CONNECTING_FROM[4500]<->LOCAL_IP_FROM_ISP_MODEM[4500]
Nov 23 16:48:06 racoon: INFO: KA list add: LOCAL_IP_FROM_ISP_MODEM[4500]->CONNECTING_FROM[4500]
Nov 23 16:48:06 racoon: INFO: ISAKMP-SA established LOCAL_IP_FROM_ISP_MODEM[4500]-CONNECTING_FROM[4500] spi:38ca5c4497a6fadf:d978dc36b6bad19f
Nov 23 16:48:06 racoon: INFO: respond new phase 2 negotiation: LOCAL_IP_FROM_ISP_MODEM[4500]<=>CONNECTING_FROM[4500]
Nov 23 16:48:06 racoon: INFO: no policy found, try to generate the policy : 10.73.154.58/32[1701] EXTERNAL_IP/32[1701] proto=udp dir=in
Nov 23 16:48:06 racoon: INFO: Adjusting my encmode UDP-Transport->Transport
Nov 23 16:48:06 racoon: INFO: Adjusting peer's encmode UDP-Transport(4)->Transport(2)
Nov 23 16:48:06 racoon: INFO: IPsec-SA established: ESP/Transport LOCAL_IP_FROM_ISP_MODEM[4500]->CONNECTING_FROM[4500] spi=140788968(0x86444e8)
Nov 23 16:48:06 racoon: INFO: IPsec-SA established: ESP/Transport LOCAL_IP_FROM_ISP_MODEM[4500]->CONNECTING_FROM[4500] spi=2861868886(0xaa94a756)
Nov 23 16:48:06 racoon: INFO: respond new phase 2 negotiation: LOCAL_IP_FROM_ISP_MODEM[4500]<=>CONNECTING_FROM[4500]
Nov 23 16:48:06 racoon: INFO: Update the generated policy : 10.73.154.58/32[1701] EXTERNAL_IP/32[1701] proto=udp dir=in
Nov 23 16:48:06 racoon: INFO: Adjusting my encmode UDP-Transport->Transport
Nov 23 16:48:06 racoon: INFO: Adjusting peer's encmode UDP-Transport(4)->Transport(2)
Nov 23 16:48:06 racoon: INFO: IPsec-SA established: ESP/Transport LOCAL_IP_FROM_ISP_MODEM[4500]->CONNECTING_FROM[4500] spi=213573498(0xcbadf7a)
Nov 23 16:48:06 racoon: INFO: IPsec-SA established: ESP/Transport LOCAL_IP_FROM_ISP_MODEM[4500]->CONNECTING_FROM[4500] spi=1238441234(0x49d11d12)
Nov 23 16:48:06 racoon: INFO: deleting a generated policy.
Nov 23 16:48:06 racoon: INFO: purged IPsec-SA proto_id=ESP spi=2861868886.
Nov 23 16:48:06 racoon: INFO: unsupported PF_KEY message X_SPDDELETE2
Nov 23 16:48:06 racoon: INFO: unsupported PF_KEY message X_SPDDELETE2
Nov 23 16:48:09 racoon: INFO: respond new phase 2 negotiation: LOCAL_IP_FROM_ISP_MODEM[4500]<=>CONNECTING_FROM[4500]
Nov 23 16:48:09 racoon: INFO: Update the generated policy : 10.73.154.58/32[1701] EXTERNAL_IP/32[1701] proto=udp dir=in
Nov 23 16:48:09 racoon: INFO: Adjusting my encmode UDP-Transport->Transport
Nov 23 16:48:09 racoon: INFO: Adjusting peer's encmode UDP-Transport(4)->Transport(2)
Nov 23 16:48:09 racoon: INFO: IPsec-SA established: ESP/Transport LOCAL_IP_FROM_ISP_MODEM[4500]->CONNECTING_FROM[4500] spi=98080873(0x5d89869)
Nov 23 16:48:09 racoon: INFO: IPsec-SA established: ESP/Transport LOCAL_IP_FROM_ISP_MODEM[4500]->CONNECTING_FROM[4500] spi=1612297438(0x6019b4de)
Nov 23 16:48:09 racoon: INFO: deleting a generated policy.
Nov 23 16:48:09 racoon: INFO: purged IPsec-SA proto_id=ESP spi=1238441234.
Nov 23 16:48:09 racoon: INFO: unsupported PF_KEY message X_SPDDELETE2
Nov 23 16:48:09 racoon: INFO: unsupported PF_KEY message X_SPDDELETE2
Nov 23 16:48:13 racoon: INFO: respond new phase 2 negotiation: LOCAL_IP_FROM_ISP_MODEM[4500]<=>CONNECTING_FROM[4500]
Nov 23 16:48:13 racoon: INFO: Update the generated policy : 10.73.154.58/32[1701] EXTERNAL_IP/32[1701] proto=udp dir=in
Nov 23 16:48:13 racoon: INFO: Adjusting my encmode UDP-Transport->Transport
Nov 23 16:48:13 racoon: INFO: Adjusting peer's encmode UDP-Transport(4)->Transport(2)
Nov 23 16:48:13 racoon: INFO: IPsec-SA established: ESP/Transport LOCAL_IP_FROM_ISP_MODEM[4500]->CONNECTING_FROM[4500] spi=119529341(0x71fdf7d)
Nov 23 16:48:13 racoon: INFO: IPsec-SA established: ESP/Transport LOCAL_IP_FROM_ISP_MODEM[4500]->CONNECTING_FROM[4500] spi=2626163312(0x9c881270)
Nov 23 16:48:13 racoon: INFO: deleting a generated policy.
Nov 23 16:48:13 racoon: INFO: purged IPsec-SA proto_id=ESP spi=1612297438.
Nov 23 16:48:13 racoon: INFO: unsupported PF_KEY message X_SPDDELETE2
Nov 23 16:48:13 racoon: INFO: unsupported PF_KEY message X_SPDDELETE2
Nov 23 16:48:25 racoon: INFO: respond new phase 2 negotiation: LOCAL_IP_FROM_ISP_MODEM[4500]<=>CONNECTING_FROM[4500]
Nov 23 16:48:25 racoon: INFO: Update the generated policy : 10.73.154.58/32[1701] EXTERNAL_IP/32[1701] proto=udp dir=in
Nov 23 16:48:25 racoon: INFO: Adjusting my encmode UDP-Transport->Transport
Nov 23 16:48:25 racoon: INFO: Adjusting peer's encmode UDP-Transport(4)->Transport(2)
Nov 23 16:48:25 racoon: INFO: deleting a generated policy.
Nov 23 16:48:25 racoon: INFO: purged IPsec-SA proto_id=ESP spi=2626163312.
Nov 23 16:48:25 racoon: ERROR: pfkey X_SPDDELETE failed: No such file or directory
Nov 23 16:48:25 racoon: ERROR: pfkey X_SPDDELETE failed: No such file or directory
Nov 23 16:48:25 racoon: INFO: ISAKMP-SA expired LOCAL_IP_FROM_ISP_MODEM[4500]-CONNECTING_FROM[4500] spi:38ca5c4497a6fadf:d978dc36b6bad19f
Nov 23 16:48:25 racoon: INFO: ISAKMP-SA deleted LOCAL_IP_FROM_ISP_MODEM[4500]-CONNECTING_FROM[4500] spi:38ca5c4497a6fadf:d978dc36b6bad19f
Nov 23 16:48:25 racoon: INFO: KA remove: LOCAL_IP_FROM_ISP_MODEM[4500]->CONNECTING_FROM[4500]
Nov 23 16:48:25 racoon: INFO: respond new phase 1 negotiation: LOCAL_IP_FROM_ISP_MODEM[500]<=>CONNECTING_FROM[500]
Nov 23 16:48:25 racoon: INFO: begin Identity Protection mode.
Nov 23 16:48:25 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
Nov 23 16:48:25 racoon: INFO: received Vendor ID: RFC 3947
Nov 23 16:48:25 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Nov 23 16:48:25 racoon: INFO: received Vendor ID: FRAGMENTATION
Nov 23 16:48:25 racoon: [CONNECTING_FROM] INFO: Selected NAT-T version: RFC 3947
Nov 23 16:48:25 racoon: ERROR: invalid DH group 20.
Nov 23 16:48:25 racoon: ERROR: invalid DH group 19.
Nov 23 16:48:25 racoon: WARNING: the packet retransmitted in a short time from CONNECTING_FROM[500]
Nov 23 16:48:25 racoon: NOTIFY: the packet is retransmitted by CONNECTING_FROM[500] (1).
Nov 23 16:48:26 racoon: [LOCAL_IP_FROM_ISP_MODEM] INFO: Hashing LOCAL_IP_FROM_ISP_MODEM[500] with algo #2 
Nov 23 16:48:26 racoon: INFO: NAT-D payload #0 doesn't match
Nov 23 16:48:26 racoon: [CONNECTING_FROM] INFO: Hashing CONNECTING_FROM[500] with algo #2 
Nov 23 16:48:26 racoon: INFO: NAT-D payload #1 doesn't match
Nov 23 16:48:26 racoon: INFO: NAT detected: ME PEER
Nov 23 16:48:26 racoon: [CONNECTING_FROM] INFO: Hashing CONNECTING_FROM[500] with algo #2 
Nov 23 16:48:26 racoon: [LOCAL_IP_FROM_ISP_MODEM] INFO: Hashing LOCAL_IP_FROM_ISP_MODEM[500] with algo #2 
Nov 23 16:48:26 racoon: INFO: Adding remote and local NAT-D payloads.
Nov 23 16:48:26 racoon: [CONNECTING_FROM] ERROR: couldn't find the pskey for CONNECTING_FROM.
Nov 23 16:48:26 racoon: [CONNECTING_FROM] NOTIFY: Using default PSK.
Nov 23 16:48:26 racoon: INFO: NAT-T: ports changed to: CONNECTING_FROM[4500]<->LOCAL_IP_FROM_ISP_MODEM[4500]
Nov 23 16:48:26 racoon: INFO: KA list add: LOCAL_IP_FROM_ISP_MODEM[4500]->CONNECTING_FROM[4500]
Nov 23 16:48:26 racoon: INFO: ISAKMP-SA established LOCAL_IP_FROM_ISP_MODEM[4500]-CONNECTING_FROM[4500] spi:1456d9d444ce0634:e63cc0b970e666c7
Nov 23 16:48:26 racoon: INFO: respond new phase 2 negotiation: LOCAL_IP_FROM_ISP_MODEM[4500]<=>CONNECTING_FROM[4500]
Nov 23 16:48:26 racoon: INFO: no policy found, try to generate the policy : 10.73.154.58/32[1701] EXTERNAL_IP/32[1701] proto=udp dir=in
Nov 23 16:48:26 racoon: INFO: Adjusting my encmode UDP-Transport->Transport
Nov 23 16:48:26 racoon: INFO: Adjusting peer's encmode UDP-Transport(4)->Transport(2)
Nov 23 16:48:26 racoon: INFO: IPsec-SA established: ESP/Transport LOCAL_IP_FROM_ISP_MODEM[4500]->CONNECTING_FROM[4500] spi=243912753(0xe89d031)
Nov 23 16:48:26 racoon: INFO: IPsec-SA established: ESP/Transport LOCAL_IP_FROM_ISP_MODEM[4500]->CONNECTING_FROM[4500] spi=3943492116(0xeb0cea14)
Nov 23 16:48:31 racoon: INFO: respond new phase 2 negotiation: LOCAL_IP_FROM_ISP_MODEM[4500]<=>CONNECTING_FROM[4500]
Nov 23 16:48:31 racoon: INFO: Update the generated policy : 10.73.154.58/32[1701] EXTERNAL_IP/32[1701] proto=udp dir=in
Nov 23 16:48:31 racoon: INFO: Adjusting my encmode UDP-Transport->Transport
Nov 23 16:48:31 racoon: INFO: Adjusting peer's encmode UDP-Transport(4)->Transport(2)
Nov 23 16:48:31 racoon: INFO: IPsec-SA established: ESP/Transport LOCAL_IP_FROM_ISP_MODEM[4500]->CONNECTING_FROM[4500] spi=62413769(0x3b85bc9)
Nov 23 16:48:31 racoon: INFO: IPsec-SA established: ESP/Transport LOCAL_IP_FROM_ISP_MODEM[4500]->CONNECTING_FROM[4500] spi=73223548(0x45d4d7c)
Nov 23 16:48:31 racoon: INFO: deleting a generated policy.
Nov 23 16:48:31 racoon: INFO: purged IPsec-SA proto_id=ESP spi=3943492116.
Nov 23 16:48:31 racoon: INFO: unsupported PF_KEY message X_SPDDELETE2
Nov 23 16:48:31 racoon: INFO: unsupported PF_KEY message X_SPDDELETE2


Waar het IP adres 10.73.154.58 vandaan komt snap ik niet. Bij een volgende poging zie ik weer een ander schijnbaar willekeurig IP adres voorbij komen, 10.40.15.82.

Hoe zorg ik ervoor dat racoon naar 0.0.0.0 gaat luisteren?
Ik heb nu min of meer dom de handleinding gevolgd zoals hier beschreven.

Om de firewall regels te 'fixen', kan ik daar gewoon in het post firewall script de regels iptables -D INPUT 8 en 4 toevoegen en het oude stukje hiervoor verwijderen?
Of gaat dat later problemen geven?

[ Voor 3% gewijzigd door JDVB op 24-11-2014 13:24 ]

woensdag 26 november 2014 17:59

Acties:
  • JDVB
  • Registratie: September 2003
  • Laatst online: 17-11 20:40

JDVB

✅ ⟵ vinkje

Topicstarter
Iemand hier die me een nuttige tip zou kunnen en willen geven hoe ik dit werkend kan krijgen?

woensdag 26 november 2014 20:25

Acties:
  • The Fatal
  • Registratie: Maart 2009
  • Laatst online: 21:05

The Fatal

JDVB schreef op zondag 23 november 2014 @ 17:05:
Thanks, ik ben een stapje verder.


Hoe zorg ik ervoor dat racoon naar 0.0.0.0 gaat luisteren?
Ik heb nu min of meer dom de handleinding gevolgd zoals hier beschreven.
heb even een paar andere tut's door gelezen over xl2tp (maar dan veel icm openswan ipv racoon).
Aangezien jij andere firmware draait, kan het niet zijn dat het volgende niet helemaal lekker werkt?
myServer=`nvram get wan_ipaddr`
ip xfrm policy add src $myServer dst 0.0.0.0/0 proto udp sport 1701 dir out tmpl proto esp mode transport level required
ip xfrm policy add src 0.0.0.0/0 dst $myServer proto udp dport 1701 dir in tmpl proto esp mode transport level required

Dit is echt even een wilde gok.. :X
ps: er staan ook nog een paar tut's op de OpenWrt site.
http://wiki.openwrt.org/doc/howto/vpn.ipsec.basics.racoon

[ Voor 6% gewijzigd door The Fatal op 26-11-2014 20:31 ]

vrijdag 28 november 2014 09:09

Acties:
  • JDVB
  • Registratie: September 2003
  • Laatst online: 17-11 20:40

JDVB

✅ ⟵ vinkje

Topicstarter
Dat stukje myServer=... lijkt mij uit te gaan van een vast IP adres, wat ik op dit moment niet heb.
Het script wordt nu namelijk eenmalig uitgevoerd nadat iptables geladen wordt.

Dus zelfs als dit zou werken bij het opstarten, dan zou het stoppen met werken wanneer het IP verandert.
Hoe kan ik dat oplossen? Kan ik daar ook een (ddns)domein opgeven via de een of andere manier?


DDNS werkt op deze router niet, vanwege de nat constructie, de synology die hier weer achter staat en dus nog een stap verder weg heeft er dan weer geen problemen mee om een DDNS service aan te sturen, dus een werkend subdomein dat naar mijn IP verwijst heb ik wel.

[ Voor 39% gewijzigd door JDVB op 28-11-2014 09:14 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq