Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Site-To-Site IPsec-VPN mit OpenSwan Server und Draytek Router funktioniert nicht

Frage Linux Linux Netzwerk

Mitglied: ISAEDV

ISAEDV (Level 1) - Jetzt verbinden

18.10.2012 um 15:23 Uhr, 5376 Aufrufe, 8 Kommentare

Hallo Zusammen,

ich versuche derzeit einen OpenSwan-Server mit IPsec VPN aufzubauen.
Gegeben sind ein Debian Squeeze Server ein Draytek Vigor 2000.
Die Rechner aus dem Draytek-Netz sollen eine Verbindung zum OpenSwan-Server aufbauen.

Server: eth0: 1.2.3.4 eth1 10.0.128.100
Draytek: eth0: 5.6.7.8 eth1 192.168.1.1

Beide externen Adressen sind Fest und direkt am Internet also kein Router davor.
Es soll sich über ein PSK Authentifiziert werden.

Hier meine ipsec.conf:

  1. /etc/ipsec.conf - Openswan IPsec configuration file

  1. This file: /usr/share/doc/openswan/ipsec.conf-sample
  1. Manual: ipsec.conf.5

version 2.0 # conforms to second version of ipsec.conf specification

  1. basic configuration
config setup
plutoopts="--perpeerlog"
virtual_private=%v4:!10.0.128.0/24
nat_traversal=yes
protostack=netkey

conn test
type= tunnel
authby= secret
auto= start
pfs= no
ike= aes256-shal;modp1024!
phase2alg= aes256-shal;modp1024
aggrmode= no

left= 5.6.7.8
right= 1.2.3.4

leftsubnet= 192.168.1.0/24
rightsubnet= 10.0.128.0/24

meine ipsec.secrets Datei:

5.6.7.8 1.2.3.4: PSK "meinpsk"

Wenn ich die VPN starte lädt er anscheind alle Configs aber ich bekomme diese Meldung immer und immer wieder:

packet from 5.6.7.8:500: initial Main Mode message received on 1.2.3.4:500 but no connection has been authorized with policy=PSK

Was mach ich falsch??
Mitglied: goscho
18.10.2012 um 15:53 Uhr
Hi ISAEDV,

die Konfig des Draytek sehen wir zwar nicht, sollte aber passend sein, oder?

Wenn du beide direkt im Internet hast, ohne Router davor, dann kannst du NAT-T ausschalten.
Ob es das aber ist, glaube ich nicht.

Teste doch mal den Agressive Mode.
Dieser ist zwar weniger sicher aber soll wohl zwischen verschiedenen Herstellern bessere Interoperabilität bringen.
Auch mal Testweise 3DES an Stelle von AES256 Verschlüsselung probieren.

Ansonsten testen, testen, testen oder auf @aqui hoffen.
Bitte warten ..
Mitglied: aqui
18.10.2012, aktualisiert um 19:29 Uhr

...einen Fehler sieht man gleich: Du darfst nicht den Aggressive Mode abschalten ! Bei Herstellerfremden VPNs mit IPsec ist der Aggressive Mode Pflicht.
Tipp bevor wir hier ins eingemachte gehen:
Lad dir von der Draytek Downloads Utilities Page den Syslog Server runter und aktiviere Syslog im Draytek.
Dann loggst du einen Connect Session mit, dann wissen wir meist sofort woran es liegt !!
Agressive Mode nicht vergessen und ggf. NAT Traversal
Sitzt der Debian hinter einem NAT (Adress Translation) Router ??
Wenn ja musst du noch mit Port Forwarding arbeiten das bzw. NAT Traversal aktivieren !
Ggf. hilft dir noch DAS hier:
http://www.codexsoftware.co.uk/blog/computers/openswan-lan-to-lan-ipsec ...
Bitte warten ..
Mitglied: ISAEDV
23.10.2012 um 12:24 Uhr
Zitat von aqui:

...einen Fehler sieht man gleich: Du darfst nicht den Aggressive Mode abschalten ! Bei Herstellerfremden VPNs mit IPsec ist der
Aggressive Mode Pflicht.
Tipp bevor wir hier ins eingemachte gehen:
Lad dir von der Draytek Downloads Utilities Page den Syslog Server runter und aktiviere Syslog im Draytek.
Dann loggst du einen Connect Session mit, dann wissen wir meist sofort woran es liegt !!
Agressive Mode nicht vergessen und ggf. NAT Traversal
Sitzt der Debian hinter einem NAT (Adress Translation) Router ??

Hallo Zusammen,

hatte jetzt erst wieder Zeit damit weiterzumachen. Also aggressive Mode hab ich aktiviert und den Syslog-Server installiert. Dieser sagt mir:

Initiatiion IKE Aggressivre Mode to (ip openswan server)
Responding to Aggressive Mode from (ip openswan server)
Dialing Node1 (test) : (ip openswan server)

DebianServer sitzt hinter einer Firewall. Dort ist aber alles freigegeben. Auch wenn ich diese deaktiviere komme ich genauso weit.

Am Debian-Server sagt er mir folgendes:

Quick Mode message is unacceptable becuase it is for an incomplete ISAKMP SA
payload malformed after IV
packet rejected should have been encrypted

Denke ich mir jetzt das eine Seite seine Pakete nicht verschlüsselt...

Auf dem Draytek hab ich jetzt Aggressive Mode auf
3DES_MD5_G2
das müsste auf dem OpenSwan doch ike=3des-md5;modp1024 sein oder?

Für Phase 2 hab ich auf dem Draytek:
Hohe Sicherheit ESP
3DES (authentifiziert)


Das die Dinger auch so empfindlich sein müssen... danke erstmal für Euren Rat!
Bitte warten ..
Mitglied: goscho
23.10.2012, aktualisiert um 14:04 Uhr
Mahlzeit
Zitat von ISAEDV:
Am Debian-Server sagt er mir folgendes:

Quick Mode message is unacceptable becuase it is for an incomplete ISAKMP SA
payload malformed after IV
packet rejected should have been encrypted

Denke ich mir jetzt das eine Seite seine Pakete nicht verschlüsselt...
Das klingt auf jeden Fall so.

DebianServer sitzt hinter einer Firewall. Dort ist aber alles freigegeben.
Werden denn auch die relevanten Ports für IPSEC-VPN von der Firewall zum OpenSwan weitergeleitet?
Bitte warten ..
Mitglied: ISAEDV
23.10.2012 um 14:07 Uhr
*Luftsprung*
Ich habs! Wieder einmal merke ich, dass man ganz ruhig rangehen muss. Die Fehlermeldung sind eig. eindeutig wenn man sich konzentriert ;)
Ich musste wieder auf Main-Mode stellen und dann explizit auf 3DES-MD5_G2 (was für 3DES-MD5;modp1024 steht) stellen.

Da passte es sofort.

Vielen Dank an euch Beiden
Bitte warten ..
Mitglied: goscho
23.10.2012 um 14:14 Uhr
Schön, dass es jetzt klappt.

Und jetzt würde ich dir empfehlen, noch zu testen, ob es nicht die Möglichkeit der AES-Verschlüsselung mit dem Agressive Mode gibt.
3DES ist nun mal nicht ganz so sicher.
Bitte warten ..
Mitglied: 104286
23.10.2012 um 14:22 Uhr
goscho, kannst du deine beiden Tipps bitte mal ganz genau begründen?

Was genau ist sicherer an der Verschlüsselung mit 3DES? Warum den Aggressive Mode?
Bitte warten ..
Mitglied: goscho
23.10.2012 um 15:17 Uhr
Zitat von 104286:
goscho, kannst du deine beiden Tipps bitte mal ganz genau begründen?
Was genau ist sicherer an der Verschlüsselung mit 3DES? Warum den Aggressive Mode?
Der agressiv mode ist der eigentlich kompatiblere Modus bei IPSEC-VPNs unterschiedlicher Hersteller.

AES ist der offizielle Nachfolger von DES bei Verschlüsselung:
Wikipedia: AES
Bitte warten ..
Ähnliche Inhalte
Neue Wissensbeiträge
Rechtliche Fragen

Heiseshow, live ab 12 Uhr: Steht die Vorratsdatenspeicherung vor dem Aus?

Tipp von sabines zum Thema Rechtliche Fragen ...

Outlook & Mail

Outlook Probleme nach Juni Updates - KB3203467 ist Schuld

(1)

Information von Deepsys zum Thema Outlook & Mail ...

Microsoft Office

Windows 7, Office 2016 RTM und Updates ohne WSUS

Tipp von chgorges zum Thema Microsoft Office ...

E-Mail

Thunderbird 52 hat Druckprobleme

(3)

Tipp von magicteddy zum Thema E-Mail ...

Heiß diskutierte Inhalte
Server-Hardware
Einem Stromausfall entgegen wirken (26)

Frage von OIOOIOOIOIIOOOIIOIIOIOOO zum Thema Server-Hardware ...

Humor (lol)
Aktuell keine IT Probleme (22)

Frage von lordofremixes zum Thema Humor (lol) ...

Festplatten, SSD, Raid
PC stellt nach dem Bios ab (20)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...