IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 25.02.2018, 16:46

Alle Zeiten sind UTC+01:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 12 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 01.12.2004, 22:06 
Offline
Deputy Superintendent
Themenstarter
Deputy Superintendent

Registriert: 11.10.2004
Beiträge: 360
Ich bemühe mich wirklich, dieses Setup selbst hinzukriegen, und ich gehe auch davon aus, daß die Lösung vom Typus "Das war's?" sein wird, aber ich stehe an:

Momentan kriege ich das in den Logs (etwas unkenntlich gemacht):

Dec 1 22:01:46 ipcop pluto[4226]: "vpnp"[2] 80.123.28.237 #7: cannot respond to IPsec SA request because no connection is known for 192.168.86.0/24===<static IP vom IPCOP>[C=AT, O=Gemeinde XY, CN=<static IP vom IPCOP>]...<dyn. IP vom Notebook>[C=AT, O=Gemeinde XY, CN=AP]===192.168.0.2/32

Das Notebook hängt hinter einem ADSL-Router bei dem Mitarbeiter zuhause, daher wohl das etwas wunderliche Subnetz.


Config am IPCOP (1.4.0):

conn vpnp
left=<static IP vom IPCOP>
leftnexthop=%defaultroute
leftsubnet=192.168.86.0/24
leftcert=/var/ipcop/certs/hostcert.pem
right=%any
rightsubnet=192.168.0.2/32
rightcert=/var/ipcop/certs/vpnpresslcert.pem
dpddelay=30
dpdtimeout=120
dpdaction=clear
authby=rsasig
auto=add

Konfig am Notebook:

conn vpnp
left=<static IP vom IPCOP>
leftsubnet=192.168.86.0/24
leftca="C=AT, O=Gemeinde XY, CN=Gemeinde XY CA"
right=%any
auto=start
network=auto
pfs=yes


Zertifikat am COP erstellt, mittels ipsec.msc importiert, tools vom Markus Müller am Rechner, XP-Support-tools, alles gewissenhaft nach Anleitung ...

Aja, noch mehr log, nach obigem folgt dieses:

Dec 1 22:01:46 ipcop pluto[4226]: "vpnp"[2] 80.123.28.237 #7: sending encrypted notification INVALID_ID_INFORMATION to 80.123.28.237:500
Dec 1 22:01:47 ipcop pluto[4226]: "vpnp"[2] 80.123.28.237 #7: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x283df049 (perhaps this is a duplicated packet)
Dec 1 22:01:47 ipcop pluto[4226]: "vpnp"[2] 80.123.28.237 #7: sending encrypted notification INVALID_MESSAGE_ID to 80.123.28.237:500

Nach knapp 2 Tagen Beschäftigung damit und der Lektüre diverser HOWTOs etc. sehe ich den Wald vor Bäumen nicht mehr ...

Seht Ihr ihn?

Danke, Stefan.


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 02.12.2004, 20:59 
Offline
Deputy Superintendent
Themenstarter
Deputy Superintendent

Registriert: 11.10.2004
Beiträge: 360
For the records (vielleicht sucht jemand mal Ähnliches und findet es dann schneller als ich ... ):

Das Problem war, daß der Roadwarrior(schlimmer Begriff)-Laptop hinter einem ADSL-Router steht und dieser NAT macht.

Daher das Subnetz 192.168.0.2/32.

Damit IPSEC das korrekt behandelt, war das Hinzufügen der Zeile "rightsubnetwithin" nötig. Der relevante Eintrag in der ipsec.conf auf dem IPCOP lautet jetzt:

Code:
conn vpnp
        left=<static IP vom IPCOP>
        leftnexthop=%defaultroute
        leftsubnet=192.168.86.0/24
        leftcert=/var/ipcop/certs/hostcert.pem
        right=%any
        rightsubnetwithin=192.168.0.2/32
        rightcert=/var/ipcop/certs/vpnpresslcert.pem
        dpddelay=30
        dpdtimeout=120
        dpdaction=clear
        authby=rsasig
        auto=add



Und wenn ich mal ganz viel Zeit für sowas habe (dieses Problem hat mich bereits einige Zeit gekostet ...), dann schreibe ich ein HOWTO, mit dem ich das Ganze gleich hingekriegt hätte.

Bei meinen Recherchen mußte ich nämlich feststellen, daß in den diversen Anleitungen einmal diese, einmal jene Info zu finden war, aber nirgendwo eine klare Anleitung inklusive aller gängigen Stolpersteine.

Und wenn man so eine Verbindung zum ersten Mal herstellen will (IPCOP zu IPCOP läuft hier schon länger, aber nicht host-to-net mit Zertifikaten), hat man ja wirklich keine Ahnung, woran es jetzt genau liegt.

Zertifikate falsch? left und right vertauschen? Oder nicht? Fehlt mir eine Anweisung in ipsec.conf? .... ;-)

Am Schluss bleiben zwei kleine Konfigurations-Dateien über, denen keiner ansieht, wieviel Arbeit sowas machen kann.

Aber die kann ich mir jetzt kopieren, und Ihr auch ;-)

Viel Erfolg den nächsten IPSEC-Aspiranten, Stefan.


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 03.12.2004, 07:39 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 18.11.2003
Beiträge: 1330
Wohnort: IPCop-City und Chiba City ;)
sgw hat geschrieben:
...
Und wenn ich mal ganz viel Zeit für sowas habe (dieses Problem hat mich bereits einige Zeit gekostet ...), dann schreibe ich ein HOWTO, mit dem ich das Ganze gleich hingekriegt hätte.

Bei meinen Recherchen mußte ich nämlich feststellen, daß in den diversen Anleitungen einmal diese, einmal jene Info zu finden war, aber nirgendwo eine klare Anleitung inklusive aller gängigen Stolpersteine.
...

Viel Erfolg den nächsten IPSEC-Aspiranten, Stefan.



Das Howto würde ich an deiner Stelle gleich verfassen denn wie du sicher auch bemerkt hast werden in diversen Foren howtos zwar angekündigt, aber erscheinen dann nie weil der potenzielle Autor mit der Zeit einfach vergessen hat was er eigentlich genau schreiben wollte/müsste.
"Ganz viel Zeit" findet man in unserem Beruf sowieso nicht ;-)

Dank dir aber schonmal für die bereitgestellten Infos, die wiederum bestimmt dem Einen oder Anderen hilfreich sein werden.

Gruß, Wonder

_________________
Ohne Fehler kein Fortschritt; und zurück... | Über mich...


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 03.12.2004, 17:39 
Offline
Deputy Superintendent
Themenstarter
Deputy Superintendent

Registriert: 11.10.2004
Beiträge: 360
Wonder hat geschrieben:

Zitat:
Das Howto würde ich an deiner Stelle gleich verfassen denn wie du sicher auch bemerkt hast werden in diversen Foren howtos zwar angekündigt, aber erscheinen dann nie weil der potenzielle Autor mit der Zeit einfach vergessen hat was er eigentlich genau schreiben wollte/müsste.
"Ganz viel Zeit" findet man in unserem Beruf sowieso nicht


Wie wahr, wie wahr, das war auch eher augenzwinkernd gemeint.
Ich werde mich mal hinsetzen und eine kurze Zusammenfassung skizzieren, damit nix verlorengeht.

Und demnächst dann vielleicht hier die Reinfassung ...

--

Wenn ich schon mal hier bin und tippe:

Nächste Frage ;-)

Ich habe zwei Tunnels zu einem IPCOP offen, der eine von meinem COP aus zu dem des Kunden (netz zu netz), der zweite ist fallweise geöffnet und ist von einem Laptop des Kunden zu seinem IPCOP.

Schön für mich, daß ich von allen Rechnern in meinem Netz auf sein Netz kann, wie aber blocke ich Zugriffe aus seinem Netz auf meines ??

iptables? Oder gibz da auch was bei IPSEC?

thx, Stefan.


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 04.12.2004, 07:19 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 18.11.2003
Beiträge: 1330
Wohnort: IPCop-City und Chiba City ;)
sgw hat geschrieben:
...
Nächste Frage ;-)

Ich habe zwei Tunnels zu einem IPCOP offen, der eine von meinem COP aus zu dem des Kunden (netz zu netz), der zweite ist fallweise geöffnet und ist von einem Laptop des Kunden zu seinem IPCOP.

Schön für mich, daß ich von allen Rechnern in meinem Netz auf sein Netz kann, wie aber blocke ich Zugriffe aus seinem Netz auf meines ??

iptables? Oder gibz da auch was bei IPSEC?

thx, Stefan.


Schonmal probiert "...subnetwithin" auf der entsprechenden Seite nicht anzugeben?

Gruß, Wonder

_________________
Ohne Fehler kein Fortschritt; und zurück... | Über mich...


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 04.12.2004, 12:40 
Offline
Deputy Superintendent
Themenstarter
Deputy Superintendent

Registriert: 11.10.2004
Beiträge: 360
Zitat:
Schonmal probiert "...subnetwithin" auf der entsprechenden Seite nicht anzugeben?


Noch nicht, allerdings denke ich, daß das nicht der richtige Weg sein kann.
"...subnetwithin" hilft mir ja nur mit dem NAT.

Und "...subnet" brauche ich, da ich ja von verschiedenen Kisten in meinem LAN auf verschiedene Kisten im Kunden-LAN zugreifen können muß.

Ich sehe mir das bald mal näher an, danke vorerst.


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 04.12.2004, 15:51 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 18.11.2003
Beiträge: 1330
Wohnort: IPCop-City und Chiba City ;)
sgw hat geschrieben:
...
Und "...subnet" brauche ich, da ich ja von verschiedenen Kisten in meinem LAN auf verschiedene Kisten im Kunden-LAN zugreifen können muß.
...


Du auf seine Netzseite ja. Aber es soll ja nicht auf deine zugreifen können und da wäre es doch das Einfachste das "...subnetwithin" in deine Richtung auszukommentieren. So hat "Er" keinen Zugriff auf dein Netz, du auf "Seins" schon. Oder hab ich da einen Bug in der Denkweise? ;-)

Gruß, Wonder

_________________
Ohne Fehler kein Fortschritt; und zurück... | Über mich...


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 04.12.2004, 17:30 
Offline
Deputy Superintendent
Themenstarter
Deputy Superintendent

Registriert: 11.10.2004
Beiträge: 360
Zitat:
Du auf seine Netzseite ja. Aber es soll ja nicht auf deine zugreifen können und da wäre es doch das Einfachste das "...subnetwithin" in deine Richtung auszukommentieren. So hat "Er" keinen Zugriff auf dein Netz, du auf "Seins" schon. Oder hab ich da einen Bug in der Denkweise?


subnetwithin habe ich ohnehin nur bei der host-to-net-Verbindung von seinem Laptop, und nicht in der Verbindung IPCOP-to-IPCOP, die eine net-to-net-Verbindung darstellt.

Diese hat auf beiden Seiten eine "...subnet"-Anweisung, da sie ja zwei Netze verbindet, aber keine "...subnetwithin"-Anweisung, die ja nur bei NAT notwendig ist, um dem Tunnel mitzuteilen, daß das Netz, indem sich der Roadwarrior befindet, hinter einem Router liegt, der nach aussen eine andere Netzadresse hat.

Also fällt "subnetwithin" für den vorliegenden Fall flach, da ich hier 2 IPCOPs mit jeweils statischen IPs verbinde (kein NAT).

Daher kommen in dieser Verbindung sowohl rightsubnet, wie auch leftsubnet vor, weil ja zwei Netze miteinander verbunden werden. Das impliziert aber keine Richtung, in die Zugriffe erlaubt sind ...

Stimmen wir darin überein?

Nach dem Abendessen werde ich mal die IPSEC-Parameter durchforsten ... ;-)


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 04.12.2004, 19:29 
Offline
Deputy Superintendent
Themenstarter
Deputy Superintendent

Registriert: 11.10.2004
Beiträge: 360
Momentaner Versuch:

Auf dem IPCOP für die net-to-net-Verbindung den Parameter rightsubnet ändern:

statt z.B.

rightsubnet=192.168.0.0/24

nur noch die erlaubte IP angeben, z.B. die GREEN-Adresse des COPs auf der remote-Seite:

z.B.

rightsubnet=192.168.0.250/24

Habe ich gerade versucht, der Tunnel kommt auch wieder sauber hoch, allerdings ignoriert er mir diese IP und routet wieder das gesamte Subnetz. Evtl. eine Folge von %defaultroute ... ?

Weitersuchen ...


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 06.12.2004, 22:48 
Offline
Deputy Superintendent
Themenstarter
Deputy Superintendent

Registriert: 11.10.2004
Beiträge: 360
Habe einen guten Ansatz gefunden, mehr dazu demnächst.


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 27.07.2005, 13:08 
Offline
Deputy Superintendent
Themenstarter
Deputy Superintendent

Registriert: 11.10.2004
Beiträge: 360
Viel Zeit vergangen ...
Mittlerweile löse ich das relativ simpel per iptables:
Code:
/sbin/iptables -A CUSTOMFORWARD -m state --state NEW -d $LOCALNET -j LOG --log-prefix "src:IPSEC "
/sbin/iptables -A CUSTOMFORWARD -m state --state NEW -d $LOCALNET -i ipsec0 -j REJECT --reject-with icmp-host-unreachable


Alle neuen Verbindungen, die von irgendeinem Netz hinter dem ipsec-Interface initiiert werden, logge und rejecte ich. Für meine Nutzung als Wartungszugriff auf mehrere Kunden-Netze, die voneinander nichts sehen sollen, und die auch mein Netz nicht sehen sollen, ist das so recht effizient. Sicher gibt es eine schönere Lösung innerhalb der IPSEC-Konfiguration, aber die habe ich noch nicht sauber hinbekommen.

Grüsse, Stefan.


Nach oben
   
 Betreff des Beitrags:
BeitragVerfasst: 27.07.2005, 22:25 
Offline
Rookie
Rookie

Registriert: 21.07.2005
Beiträge: 8
und wie siehts mit dem howto aus? ;)

cheers,

Teardrop


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 12 Beiträge ] 

Alle Zeiten sind UTC+01:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
cron
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de