azubile
Sep 29, 2010, updated at 14:34:12 (UTC)
view10169
view5
1
Goto Top

VPN Tunnel mit IPsec(l2tp) funktioniert nicht

GermansolvedQuestionEncryption, CertificatesSecurity
Hallo Ihr VPN-Versteher

ich habe ein Problemchen.
In meinem Fall soll eine VPN-Verbindugn zwischen einer Linux-Maschine und einem Netgear fvg318 zustande kommen was leider nicht klappt.


Auf dem Linux-System wurde openswan installiert.

Konfig: ipsec.conf

  1. /etc/ipsec.conf - Openswan IPsec configuration file
  2. RCSID $Id: ipsec.conf.in,v 1.15.2.6 2006-10-19 03:49:46 paul Exp $

  1. This file: /usr/share/doc/openswan/ipsec.conf-sample
#
  1. Manual: ipsec.conf.5

version 2.0 # conforms to second version of ipsec.conf specification

  1. basic configuration
config setup
#
#
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
#
nhelpers=0

#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf

#include /etc/ipsec.d/examples/umshoplue.conf
include /etc/ipsec.d/l2tp-psk.conf


Konfig: l2tp-psk.conf

conn name
rightsubnet=vhost:%priv
also=name-noNAT

conn name

authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
type=transport
#
left=85.XX.XX.XX
#
leftnexthop=85.XX.XX.1
leftprotoport=17/1701
#
#
right=%any
rightprotoport=17/0


Konfig: ipsec.secrets

  1. RCSID $Id: ipsec.secrets.proto,v 1.3.6.1 2005-09-28 13:59:14 paul Exp $
  2. This file holds shared secrets or RSA private keys for inter-Pluto
  3. authentication. See ipsec_pluto(8) manpage, and HTML documentation.

  1. RSA private key for this host, authenticating it to any other host
  2. which knows the public part. Suitable public keys, for ipsec.conf, DNS,
  3. or configuration of other implementations, can be extracted conveniently
  4. with "ipsec showhostkey".

85.XX.XX.XX %any: "securekey"


Nach dem die obigen Datein konfiguriert worden sind, erstelle ich auf dem Router ein Policy und möchte nun die Verbindung starten.

Auf dem Linux-Rechner gebe ich den Befehl tail -f /var/log/auth.log ein, um zu sehen was passiert:

Folgendes erscheint:


Sep 29 15:24:18 NAME pluto[5845]: packet from 109.XX.XX.XX:500: ignoring unknown Vendor ID payload [810fa565f8ab14369105d706fbd57279]
Sep 29 15:24:18 NAME pluto[5845]: packet from 109.XX.XX.XX:500: initial Aggressive Mode message from 109.XX.XX.XX but no (wildcard) connection has been configured

Auszug aus dem Log des Routers:

2010-09-29 : INFO: accept a request to establish IKE-SA: 85.XX.XX.XX
2010-09-29 : INFO: Configuration found for 85.XX.XX.XX
2010-09-29 : INFO: Initiating new phase 1 negotiation: 109.XX.XX.XX[500]<=>85.XX:XX.XX[500]
2010-09-29 : INFO: Beginning Aggressive mode.
2010-09-29 : INFO: NAT-Traversal is Enabled
2010-09-29 : ERROR: Invalid SA protocol type: 0
2010-09-29 : ERROR: Phase 2 negotiation failed due to time up waiting for phase1.


Kann mir jemand evtl. sagen ob ich eine wichtige Konfiguration vergessen habe? Was gibt es noch zu beachten?

Gruß
AzubiLE
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 152033

Url: https://administrator.de/contentid/152033

Printed on: April 19, 2024 at 09:04 o'clock

5 Comments
Latest comment
Goto Top
Member: aqui
aqui Sep 29, 2010 at 14:49:51 (UTC)
Goto Top
Der NetGear supportet gar kein L2TP !
http://www.netgear.de/Produkte/Router/Wireless/FVG318/index.html
Da wirst du also generell schon mal scheitern. Dein Log sagt das auch ganz deutlich: "2010-09-29 : ERROR: Invalid SA protocol type: 0"
NetGear, einer der übelsten Vertreter in der VPN Welt, supportet ausschliesslich nur VPNs mit IPsec im ESP Modus !
Vergiss das also mit Openswan wenn die kein IPsec ESP supporten.
Installier dir lieber den Shrew VPN Client auf deinem Linux Host:
http://www.shrew.net/download/ike
und sieh dir das netGear HowTo an wie man das zum Fliegen bringt:
http://www.shrew.net/support/wiki/HowtoNetgear

Da Shrew auch mit OpenSWAN funktioniert:
http://www.shrew.net/support/wiki/HowtoOpenSwan
sollte OpenSWAN dann eigentlich auch IPsec / ESP können. Vielleicht hast du nur einfach die falschen Parameter eingestellt und solltest mal die aus dem Shrew HowTo verwenden. L2TP geht de facto nicht mit dem NetGear Geraffel.
Member: AzubiLE
AzubiLE Sep 29, 2010 at 15:10:16 (UTC)
Goto Top
Danke für die Antwort.

In dem HowTo wird es so beschrieben, dass die Linux-Maschine der Client ist, es soll ja aber eine Verbindung vom Router zur Linux-Maschine
aufgebaut werden. Sprich der Router ist der Initiator und die Linux-Maschine "wartet" auf die Verbindungsanfrage.

Gruß
AzubiLE
Member: aqui
aqui Sep 29, 2010 at 16:26:48 (UTC)
Goto Top
Ist doch das gleiche in grün wie oben. Wenn das VPN Protokoll nicht stimmt kommen die niemals zueinander !
Die Openswan Konfig muss dann in jedem Falle IPsec/ESP sprechen !
Member: AzubiLE
AzubiLE Sep 30, 2010 at 07:13:05 (UTC)
Goto Top
Ok mit dem Link: http://www.shrew.net/support/wiki/HowtoNetgear kann ich versuchen den Router zu konfigurieren
was mache ich aber mit der Beispielkonfiguration von http://www.shrew.net/support/wiki/HowtoOpenSwan#OpenSwanSetup,
da wird ja mit Zertifikaten gearbeitet, ich möchte das aber mit PSK realisieren oder hab ich da jetzt was falsch verstanden?

Gruß
AzubiLE
Member: aqui
aqui Sep 30, 2010 at 16:48:06 (UTC)
Goto Top
Das ist egal, das klappt auch mit Preshared Keys problemlos !
GermansolvedQuestionEncryption, CertificatesSecurity
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 CommentsgleixnerdCheck of ZFW Firewallgleixnerd - 1 CommentDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment