o/,
Ik probeer vanaf een linux router (Gentoo) met racoon (onderdeel van ipsec-tools) een ipsec verbinding naar een extern netwerk op te bouwen. Ik heb de volgende info ontvangen (ip adressen en psk gewijzigd
):
IP SEC code: IKE
VPN protocol: ESP
VPN Setup: 3DES
Authentication algoritme: MD5
Remote endpoint = 67.127.101.2
Remote net = 193.173.11.0/24
Ip-nummer: 172.16.14.4
pre-sharedkey: skdj48gh57s6f9lkmn8912hjfg
Verder is het lokale externe ip adres: 104.241.89.146
Ik denk dat er op het endpoint een Windows server draait, maar dit weet ik niet zeker (controle dmv portscans).
Goed, wat ik hieruit heb begrepen is dat, voordat er een werkelijke verbinding wordt gemaakt, er onderhandeld dient te worden over authenticatie instellingen, gebruikte algorithmes, etc, etc (IKE). Dit gebeurt in 2 stappen (phase 1, phase2). Het probleem is dat ik echt _totaal_ geen antwoord krijg van het endpoint (gecontroleerd met tcpdump) en daarom phase 1 time out.
Syslog @ debug2 loglevel:
DEBUG: new acquire 104.241.89.146/32[0] 67.127.101.2/32[0] proto=icmp dir=out
DEBUG: anonymous sainfo selected.
DEBUG: (proto_id=ESP spisize=4 spi=00000000 spi_p=00000000 encmode=Transport reqid=0:0)
DEBUG: (trns_id=3DES encklen=0 authtype=hmac-md5)
DEBUG: (trns_id=3DES encklen=0 authtype=hmac-sha)
DEBUG: (trns_id=DES encklen=0 authtype=hmac-md5)
DEBUG: (trns_id=DES encklen=0 authtype=hmac-sha)
DEBUG: configuration found for 67.127.101.2.
INFO: IPsec-SA request for 67.127.101.2 queued due to no phase1 found.
DEBUG: ===
INFO: initiate new phase 1 negotiation: 104.241.89.146[500]<=>67.127.101.2[500]
INFO: begin Identity Protection mode.
DEBUG: new cookie: b4d9734a3b2ea2c7
DEBUG: add payload of len 48, next type 0
DEBUG: 80 bytes from 104.241.89.146[500] to 67.127.101.2[500]
DEBUG: sockname 104.241.89.146[500]
DEBUG: send packet from 104.241.89.146[500]
DEBUG: send packet to 67.127.101.2[500]
DEBUG: src4 104.241.89.146[500]
DEBUG: dst4 67.127.101.2[500]
Ik verwacht dat er ergens een config fout zit en racoon niet de data verzendt die de windows server verwacht. Tcpdump ziet namelijk ook alleen maar verkeer naar 67.127.101.2 gaan en niets terugkomen.
Config files:
/etc/ipsec.conf (setkey config file, geactiveerd met setkey -f /etc/ipsec.conf):
/etc/racoon/psk.txt:
/etc/racoon/racoon.conf:
Iemand suggesties?
Ik probeer vanaf een linux router (Gentoo) met racoon (onderdeel van ipsec-tools) een ipsec verbinding naar een extern netwerk op te bouwen. Ik heb de volgende info ontvangen (ip adressen en psk gewijzigd
):IP SEC code: IKE
VPN protocol: ESP
VPN Setup: 3DES
Authentication algoritme: MD5
Remote endpoint = 67.127.101.2
Remote net = 193.173.11.0/24
Ip-nummer: 172.16.14.4
pre-sharedkey: skdj48gh57s6f9lkmn8912hjfg
Verder is het lokale externe ip adres: 104.241.89.146
Ik denk dat er op het endpoint een Windows server draait, maar dit weet ik niet zeker (controle dmv portscans).
Goed, wat ik hieruit heb begrepen is dat, voordat er een werkelijke verbinding wordt gemaakt, er onderhandeld dient te worden over authenticatie instellingen, gebruikte algorithmes, etc, etc (IKE). Dit gebeurt in 2 stappen (phase 1, phase2). Het probleem is dat ik echt _totaal_ geen antwoord krijg van het endpoint (gecontroleerd met tcpdump) en daarom phase 1 time out.
Syslog @ debug2 loglevel:
DEBUG: new acquire 104.241.89.146/32[0] 67.127.101.2/32[0] proto=icmp dir=out
DEBUG: anonymous sainfo selected.
DEBUG: (proto_id=ESP spisize=4 spi=00000000 spi_p=00000000 encmode=Transport reqid=0:0)
DEBUG: (trns_id=3DES encklen=0 authtype=hmac-md5)
DEBUG: (trns_id=3DES encklen=0 authtype=hmac-sha)
DEBUG: (trns_id=DES encklen=0 authtype=hmac-md5)
DEBUG: (trns_id=DES encklen=0 authtype=hmac-sha)
DEBUG: configuration found for 67.127.101.2.
INFO: IPsec-SA request for 67.127.101.2 queued due to no phase1 found.
DEBUG: ===
INFO: initiate new phase 1 negotiation: 104.241.89.146[500]<=>67.127.101.2[500]
INFO: begin Identity Protection mode.
DEBUG: new cookie: b4d9734a3b2ea2c7
DEBUG: add payload of len 48, next type 0
DEBUG: 80 bytes from 104.241.89.146[500] to 67.127.101.2[500]
DEBUG: sockname 104.241.89.146[500]
DEBUG: send packet from 104.241.89.146[500]
DEBUG: send packet to 67.127.101.2[500]
DEBUG: src4 104.241.89.146[500]
DEBUG: dst4 67.127.101.2[500]
Ik verwacht dat er ergens een config fout zit en racoon niet de data verzendt die de windows server verwacht. Tcpdump ziet namelijk ook alleen maar verkeer naar 67.127.101.2 gaan en niets terugkomen.
Config files:
/etc/ipsec.conf (setkey config file, geactiveerd met setkey -f /etc/ipsec.conf):
code:
1
2
3
4
5
6
7
8
9
10
| spdflush; spdadd 172.16.14.4/32 193.173.11.0/24 any-P out ipsec esp/tunnel/104.241.89.146-67.127.101.2/require; spdadd 104.241.89.146/32 67.127.101.2/32 any -P out ipsec esp/tunnel/104.241.89.146-67.127.101.2/require; spdadd 193.173.11.0/24 172.16.14.4/32 any -P in ipsec esp/transport/67.127.101.2-104.241.89.146/require; spdadd 67.127.101.2/32 104.241.89.146/32 any -P in ipsec esp/transport/67.127.101.2-104.241.89.146/require; |
/etc/racoon/psk.txt:
code:
1
2
| # IPv4/v6 addresses 80.127.101.2 be9angr5jk3nder95ngeb5jz3n |
/etc/racoon/racoon.conf:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
| path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/cert";
log debug2;
padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}
listen {
isakmp 104241.89.146 [500];
}
timer
{
# These value can be changed per remote node.
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # the number of packets per a send.
# timer for waiting to complete each phase.
phase1 30 sec;
phase2 15 sec;
}
remote 67.127.101.2
{
exchange_mode main;
initial_contact off;
proposal_check claim;
support_mip6 on;
generate_policy off;
nonce_size 16;
doi ipsec_doi;
situation identity_only;
passive off;
my_identifier address;
peers_identifier address;
lifetime time 2 min;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous
{
pfs_group 2;
lifetime time 1 hour;
encryption_algorithm 3des,des;
authentication_algorithm hmac_md5,hmac_sha1;
compression_algorithm deflate;
} |
Iemand suggesties?
[ Voor 9% gewijzigd door Verwijderd op 06-10-2004 18:25 ]
