Toon posts:

Freeswan maakt routes aan.. Hoe tegen gaan?

Pagina: 1
Acties:

maandag 14 juli 2003 11:17

Acties:
  • Rempage0611
  • Registratie: December 2000
  • Laatst online: 23-09-2025

Rempage0611

9405 WP @ 2x SMA Sunny Boy

Topicstarter
Ja ik heb weer een vraag helaas. Ik heb nu een FreesWan 2.00 server met X509 certificaten gemaakt, en dit werkt bijna. Ik kan al wel inbellen e.d. maar de computers achter de firewall kunnen niet internetten.

Dit komt door de volgende routes:

default 62.58.149.185 128.0.0.0 UG 0 0 0 ipsec0
128.0.0.0 62.58.149.185 128.0.0.0 UG 0 0 0 ipsec0

Ik wil dus dat FreesWan ze niet meer aanmaakt... Ik kan alleen nergens vinden waar ze worden gemaakt e.d.

Ik kan ze weg gooien met de volgende regels. Is er, als je de bovenstaande regels niet weg kan halen, een plek waar ik dan deze twee regels uit kan voeren?

route del -net 128.0.0.0 netmask 128.0.0.0
route del -net 0.0.0.0 netmask 128.0.0.0

postpluto doet hier niets mee helaas.

Hopelijk weet iemand antwoord zo op de maandag morgen. Bedankt.

maandag 14 juli 2003 11:35

Acties:

Verwijderd

Post maar eens je ipsec.conf dan kunnen we zien wat je hebt ingesteld. Standaard neemt freeswan met de %defaultroute variabele info over uit je routetabel. Doe er dus oon naar een route -n bij.

maandag 14 juli 2003 12:00

Acties:
  • Rempage0611
  • Registratie: December 2000
  • Laatst online: 23-09-2025

Rempage0611

9405 WP @ 2x SMA Sunny Boy

Topicstarter
Mijn ipsec.conf staat idd op defaultroute...
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

version 2.0

config setup
        interfaces=%defaultroute
        klipsdebug=none
        plutodebug=none
        uniqueids=yes
        forwardcontrol=yes

conn %default
        keyingtries=1
        compress=yes
        disablearrivalcheck=no
        authby=rsasig
        leftrsasigkey=%cert
        rightrsasigkey=%cert

conn roadwarrior-net
        leftsubnet=192.168.15.0/24
        also=roadwarrior


conn roadwarrior
        right=%any
        left=%defaultroute
        leftcert=server.pem
        auto=add
        pfs=yes


En de route -n geeft
code:
1
2
3
4
5
6
7
8

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
62.58.149.185   0.0.0.0         255.255.255.255 UH    0      0        0 eth0
62.58.149.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
62.58.149.0     0.0.0.0         255.255.255.0   U     0      0        0 ipsec0
192.168.15.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         62.58.149.185   128.0.0.0       UG    0      0        0 ipsec0
128.0.0.0       62.58.149.185   128.0.0.0       UG    0      0        0 ipsec0
0.0.0.0         62.58.149.185   0.0.0.0         UG    0      0        0 eth0


Hier staan dus die foute routes in. Ik ben nu tegelijk bezig om misschien de /usr/local/lib/ipsec/_updown aan te passen... Maar als het in de .conf ook kan zal ik die %default route nog eens beter bekijken.

maandag 14 juli 2003 12:53

Acties:

Verwijderd

Op welke interface moet freeswan luisteren. Alle interfaces of maar een van de 2?

maandag 14 juli 2003 13:57

Acties:
  • igmar
  • Registratie: April 2000
  • Laatst online: 20-04 22:06

igmar

ISO20022

Rempage0611 schreef op 14 July 2003 @ 11:17:

default 62.58.149.185 128.0.0.0 UG 0 0 0 ipsec0
128.0.0.0 62.58.149.185 128.0.0.0 UG 0 0 0 ipsec0
Deze routes zijn normaal Dat je clients niet kunnen internetten ligt ergens anders aan.
Ik wil dus dat FreesWan ze niet meer aanmaakt... Ik kan alleen nergens vinden waar ze worden gemaakt e.d.

Ik kan ze weg gooien met de volgende regels. Is er, als je de bovenstaande regels niet weg kan halen, een plek waar ik dan deze twee regels uit kan voeren?
Dan werkt meteen je tunnel niet meer. Je probleem zit 'm ergens anders in.

maandag 14 juli 2003 13:58

Acties:
  • Rempage0611
  • Registratie: December 2000
  • Laatst online: 23-09-2025

Rempage0611

9405 WP @ 2x SMA Sunny Boy

Topicstarter
Alleen op eth0. Ik heb dus al interfaces="ipsec0=eth0" neergezet, dan kloppen de routes wel en ik kan dus met de computers er achter internetten, maar dan krijg ik
initial Main Mode message received on 62.58.149.190:500 but no connection has been authorized.
Dit duidt op het feit dat het nu door NAT gaat... deze firewall nat.... Ik ben dus nog aan het zoeken naar een werkende oplossing.

maandag 14 juli 2003 14:04

Acties:
  • igmar
  • Registratie: April 2000
  • Laatst online: 20-04 22:06

igmar

ISO20022

Rempage0611 schreef op 14 July 2003 @ 12:00:
Mijn ipsec.conf staat idd op defaultroute...
code:
1
2
3
4
5
6
7
8
9

conn roadwarrior-net
        leftsubnet=192.168.15.0/24
        also=roadwarrior
conn roadwarrior
        right=%any
        left=%defaultroute
        leftcert=server.pem
        auto=add
        pfs=yes
Ik mis een rightsubnet.
En de route -n geeft
code:
1
2

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
128.0.0.0       62.58.149.185   128.0.0.0       UG    0      0        0 ipsec0
Dit lijkt me niet goed.
Hier staan dus die foute routes in. Ik ben nu tegelijk bezig om misschien de /usr/local/lib/ipsec/_updown aan te passen... Maar als het in de .conf ook kan zal ik die %default route nog eens beter bekijken.
_updown moet je in principe vanaf blijven. Die dubbele routes zijn normaal, en niet de oorzaak van je probleem.

maandag 14 juli 2003 15:47

Acties:
  • Rempage0611
  • Registratie: December 2000
  • Laatst online: 23-09-2025

Rempage0611

9405 WP @ 2x SMA Sunny Boy

Topicstarter
Ik heb nog een volgende vraag, als ik met een winxp client die ipseccmd gebruikt inlog, krijg ik de volgende route, die nodig is:
62.58.149.189 11.22.33.44 255.255.255.255 UGH 0 0 0 ipsec0
Maar soms als ik de vpn weer beindig, blijft de route staan en soms gaat hij weg. Is dit een bug of hoort dit, en wat doe ik er aan?

dinsdag 15 juli 2003 09:54

Acties:
  • PolarWolf
  • Registratie: November 2001
  • Laatst online: 11-01 19:37

PolarWolf

Debian, of course.

Van _updown blijf je af, wanneer je iets wilt wijzigen dan maak je een eigen kopie, en neem je in ipsec.conf {right|left}updown="/pad/naar/myupdown" op. Zofg er ook voor dat al je NAT verkeer alleen op de juiste subnetten en interfaces werkt. Neem dus "-o eth0" in je NAT regels. Volgens mij is dat de kern van je problemen.

Undernet #linux, Undernet #ipsec

dinsdag 15 juli 2003 09:58

Acties:
  • PolarWolf
  • Registratie: November 2001
  • Laatst online: 11-01 19:37

PolarWolf

Debian, of course.

Rempage0611 schreef op 14 juli 2003 @ 15:47:
Ik heb nog een volgende vraag, als ik met een winxp client die ipseccmd gebruikt inlog, krijg ik de volgende route, die nodig is:
62.58.149.189 11.22.33.44 255.255.255.255 UGH 0 0 0 ipsec0
Maar soms als ik de vpn weer beindig, blijft de route staan en soms gaat hij weg. Is dit een bug of hoort dit, en wat doe ik er aan?
Die route zou opgeruimt moeten worden. Ik ben echter ook wel eens tegengekomen dat een route niet wordt opgeruimd, maar ik denk meer dat dit een probleem is met het gebruikte commando ("route del" in _updown) dan van freeswan zelf. Misschien zou je een eigen updown script kunnen maken die gebruik maakt van iproute2...wat eigenlijk helemaal geen slecht idee is. Eens kijken of dat een leuk weekend projectje is.

Undernet #linux, Undernet #ipsec

dinsdag 15 juli 2003 11:24

Acties:
  • igmar
  • Registratie: April 2000
  • Laatst online: 20-04 22:06

igmar

ISO20022

Rempage0611 schreef op 14 July 2003 @ 15:47:
Ik heb nog een volgende vraag, als ik met een winxp client die ipseccmd gebruikt inlog, krijg ik de volgende route, die nodig is:
62.58.149.189 11.22.33.44 255.255.255.255 UGH 0 0 0 ipsec0
Maar soms als ik de vpn weer beindig, blijft de route staan en soms gaat hij weg. Is dit een bug of hoort dit, en wat doe ik er aan?
Installeer de Delete Notify patch en dat probleem zou opgelost moeten zijn. Met ipsec eroute kun je zien wat de status van de routes is, vaak staan ze dan op %hold. Indien dat het geval is kan de DN patch oplossing bieden.
Pagina: 1
Reageer