Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Site-To-Site IPsec-VPN mit OpenSwan Server und Draytek Router funktioniert nicht

Frage Linux Linux Netzwerk

Mitglied: ISAEDV

ISAEDV (Level 1) - Jetzt verbinden

18.10.2012 um 15:23 Uhr, 5127 Aufrufe, 8 Kommentare

Hallo Zusammen,

ich versuche derzeit einen OpenSwan-Server mit IPsec VPN aufzubauen.
Gegeben sind ein Debian Squeeze Server ein Draytek Vigor 2000.
Die Rechner aus dem Draytek-Netz sollen eine Verbindung zum OpenSwan-Server aufbauen.

Server: eth0: 1.2.3.4 eth1 10.0.128.100
Draytek: eth0: 5.6.7.8 eth1 192.168.1.1

Beide externen Adressen sind Fest und direkt am Internet also kein Router davor.
Es soll sich über ein PSK Authentifiziert werden.

Hier meine ipsec.conf:

  1. /etc/ipsec.conf - Openswan IPsec configuration file

  1. This file: /usr/share/doc/openswan/ipsec.conf-sample
  1. Manual: ipsec.conf.5

version 2.0 # conforms to second version of ipsec.conf specification

  1. basic configuration
config setup
plutoopts="--perpeerlog"
virtual_private=%v4:!10.0.128.0/24
nat_traversal=yes
protostack=netkey

conn test
type= tunnel
authby= secret
auto= start
pfs= no
ike= aes256-shal;modp1024!
phase2alg= aes256-shal;modp1024
aggrmode= no

left= 5.6.7.8
right= 1.2.3.4

leftsubnet= 192.168.1.0/24
rightsubnet= 10.0.128.0/24

meine ipsec.secrets Datei:

5.6.7.8 1.2.3.4: PSK "meinpsk"

Wenn ich die VPN starte lädt er anscheind alle Configs aber ich bekomme diese Meldung immer und immer wieder:

packet from 5.6.7.8:500: initial Main Mode message received on 1.2.3.4:500 but no connection has been authorized with policy=PSK

Was mach ich falsch??
Mitglied: goscho
18.10.2012 um 15:53 Uhr
Hi ISAEDV,

die Konfig des Draytek sehen wir zwar nicht, sollte aber passend sein, oder?

Wenn du beide direkt im Internet hast, ohne Router davor, dann kannst du NAT-T ausschalten.
Ob es das aber ist, glaube ich nicht.

Teste doch mal den Agressive Mode.
Dieser ist zwar weniger sicher aber soll wohl zwischen verschiedenen Herstellern bessere Interoperabilität bringen.
Auch mal Testweise 3DES an Stelle von AES256 Verschlüsselung probieren.

Ansonsten testen, testen, testen oder auf @aqui hoffen.
Bitte warten ..
Mitglied: aqui
18.10.2012, aktualisiert um 19:29 Uhr

...einen Fehler sieht man gleich: Du darfst nicht den Aggressive Mode abschalten ! Bei Herstellerfremden VPNs mit IPsec ist der Aggressive Mode Pflicht.
Tipp bevor wir hier ins eingemachte gehen:
Lad dir von der Draytek Downloads Utilities Page den Syslog Server runter und aktiviere Syslog im Draytek.
Dann loggst du einen Connect Session mit, dann wissen wir meist sofort woran es liegt !!
Agressive Mode nicht vergessen und ggf. NAT Traversal
Sitzt der Debian hinter einem NAT (Adress Translation) Router ??
Wenn ja musst du noch mit Port Forwarding arbeiten das bzw. NAT Traversal aktivieren !
Ggf. hilft dir noch DAS hier:
http://www.codexsoftware.co.uk/blog/computers/openswan-lan-to-lan-ipsec ...
Bitte warten ..
Mitglied: ISAEDV
23.10.2012 um 12:24 Uhr
Zitat von aqui:

...einen Fehler sieht man gleich: Du darfst nicht den Aggressive Mode abschalten ! Bei Herstellerfremden VPNs mit IPsec ist der
Aggressive Mode Pflicht.
Tipp bevor wir hier ins eingemachte gehen:
Lad dir von der Draytek Downloads Utilities Page den Syslog Server runter und aktiviere Syslog im Draytek.
Dann loggst du einen Connect Session mit, dann wissen wir meist sofort woran es liegt !!
Agressive Mode nicht vergessen und ggf. NAT Traversal
Sitzt der Debian hinter einem NAT (Adress Translation) Router ??

Hallo Zusammen,

hatte jetzt erst wieder Zeit damit weiterzumachen. Also aggressive Mode hab ich aktiviert und den Syslog-Server installiert. Dieser sagt mir:

Initiatiion IKE Aggressivre Mode to (ip openswan server)
Responding to Aggressive Mode from (ip openswan server)
Dialing Node1 (test) : (ip openswan server)

DebianServer sitzt hinter einer Firewall. Dort ist aber alles freigegeben. Auch wenn ich diese deaktiviere komme ich genauso weit.

Am Debian-Server sagt er mir folgendes:

Quick Mode message is unacceptable becuase it is for an incomplete ISAKMP SA
payload malformed after IV
packet rejected should have been encrypted

Denke ich mir jetzt das eine Seite seine Pakete nicht verschlüsselt...

Auf dem Draytek hab ich jetzt Aggressive Mode auf
3DES_MD5_G2
das müsste auf dem OpenSwan doch ike=3des-md5;modp1024 sein oder?

Für Phase 2 hab ich auf dem Draytek:
Hohe Sicherheit ESP
3DES (authentifiziert)


Das die Dinger auch so empfindlich sein müssen... danke erstmal für Euren Rat!
Bitte warten ..
Mitglied: goscho
23.10.2012, aktualisiert um 14:04 Uhr
Mahlzeit
Zitat von ISAEDV:
Am Debian-Server sagt er mir folgendes:

Quick Mode message is unacceptable becuase it is for an incomplete ISAKMP SA
payload malformed after IV
packet rejected should have been encrypted

Denke ich mir jetzt das eine Seite seine Pakete nicht verschlüsselt...
Das klingt auf jeden Fall so.

DebianServer sitzt hinter einer Firewall. Dort ist aber alles freigegeben.
Werden denn auch die relevanten Ports für IPSEC-VPN von der Firewall zum OpenSwan weitergeleitet?
Bitte warten ..
Mitglied: ISAEDV
23.10.2012 um 14:07 Uhr
*Luftsprung*
Ich habs! Wieder einmal merke ich, dass man ganz ruhig rangehen muss. Die Fehlermeldung sind eig. eindeutig wenn man sich konzentriert ;)
Ich musste wieder auf Main-Mode stellen und dann explizit auf 3DES-MD5_G2 (was für 3DES-MD5;modp1024 steht) stellen.

Da passte es sofort.

Vielen Dank an euch Beiden
Bitte warten ..
Mitglied: goscho
23.10.2012 um 14:14 Uhr
Schön, dass es jetzt klappt.

Und jetzt würde ich dir empfehlen, noch zu testen, ob es nicht die Möglichkeit der AES-Verschlüsselung mit dem Agressive Mode gibt.
3DES ist nun mal nicht ganz so sicher.
Bitte warten ..
Mitglied: 104286
23.10.2012 um 14:22 Uhr
goscho, kannst du deine beiden Tipps bitte mal ganz genau begründen?

Was genau ist sicherer an der Verschlüsselung mit 3DES? Warum den Aggressive Mode?
Bitte warten ..
Mitglied: goscho
23.10.2012 um 15:17 Uhr
Zitat von 104286:
goscho, kannst du deine beiden Tipps bitte mal ganz genau begründen?
Was genau ist sicherer an der Verschlüsselung mit 3DES? Warum den Aggressive Mode?
Der agressiv mode ist der eigentlich kompatiblere Modus bei IPSEC-VPNs unterschiedlicher Hersteller.

AES ist der offizielle Nachfolger von DES bei Verschlüsselung:
Wikipedia: AES
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Router & Routing
gelöst 18 Standorte via IPSEC VPN verbinden (26)

Frage von Nichtsnutz zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst L2TP-IPsec VPN pfSense 2.3 (6)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Router & Routing
Cisco IPSEC VPN - Magic Packet (WOL) - ip helper-address (4)

Frage von Bernhard-B zum Thema Router & Routing ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (18)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...