Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VPN Tunnel mit IPsec(l2tp) funktioniert nicht

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: AzubiLE

AzubiLE (Level 1) - Jetzt verbinden

29.09.2010, aktualisiert 16:34 Uhr, 8385 Aufrufe, 5 Kommentare

Hallo Ihr VPN-Versteher

ich habe ein Problemchen.
In meinem Fall soll eine VPN-Verbindugn zwischen einer Linux-Maschine und einem Netgear fvg318 zustande kommen was leider nicht klappt.


Auf dem Linux-System wurde openswan installiert.

Konfig: ipsec.conf

  1. /etc/ipsec.conf - Openswan IPsec configuration file
  2. RCSID $Id: ipsec.conf.in,v 1.15.2.6 2006-10-19 03:49:46 paul Exp $

  1. This file: /usr/share/doc/openswan/ipsec.conf-sample
  1. Manual: ipsec.conf.5

version 2.0 # conforms to second version of ipsec.conf specification

  1. basic configuration
config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
nhelpers=0

#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf

#include /etc/ipsec.d/examples/umshoplue.conf
include /etc/ipsec.d/l2tp-psk.conf

Konfig: l2tp-psk.conf

conn name
rightsubnet=vhost:%priv
also=name-noNAT

conn name

authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
type=transport
left=85.XX.XX.XX
leftnexthop=85.XX.XX.1
leftprotoport=17/1701
right=%any
rightprotoport=17/0

Konfig: ipsec.secrets

  1. RCSID $Id: ipsec.secrets.proto,v 1.3.6.1 2005-09-28 13:59:14 paul Exp $
  2. This file holds shared secrets or RSA private keys for inter-Pluto
  3. authentication. See ipsec_pluto(8) manpage, and HTML documentation.

  1. RSA private key for this host, authenticating it to any other host
  2. which knows the public part. Suitable public keys, for ipsec.conf, DNS,
  3. or configuration of other implementations, can be extracted conveniently
  4. with "ipsec showhostkey".

85.XX.XX.XX %any: "securekey"


Nach dem die obigen Datein konfiguriert worden sind, erstelle ich auf dem Router ein Policy und möchte nun die Verbindung starten.

Auf dem Linux-Rechner gebe ich den Befehl tail -f /var/log/auth.log ein, um zu sehen was passiert:

Folgendes erscheint:


Sep 29 15:24:18 NAME pluto[5845]: packet from 109.XX.XX.XX:500: ignoring unknown Vendor ID payload [810fa565f8ab14369105d706fbd57279]
Sep 29 15:24:18 NAME pluto[5845]: packet from 109.XX.XX.XX:500: initial Aggressive Mode message from 109.XX.XX.XX but no (wildcard) connection has been configured

Auszug aus dem Log des Routers:

2010-09-29 : INFO: accept a request to establish IKE-SA: 85.XX.XX.XX
2010-09-29 : INFO: Configuration found for 85.XX.XX.XX
2010-09-29 : INFO: Initiating new phase 1 negotiation: 109.XX.XX.XX[500]<=>85.XX:XX.XX[500]
2010-09-29 : INFO: Beginning Aggressive mode.
2010-09-29 : INFO: NAT-Traversal is Enabled
2010-09-29 : ERROR: Invalid SA protocol type: 0
2010-09-29 : ERROR: Phase 2 negotiation failed due to time up waiting for phase1.


Kann mir jemand evtl. sagen ob ich eine wichtige Konfiguration vergessen habe? Was gibt es noch zu beachten?

Gruß
AzubiLE
Mitglied: aqui
29.09.2010 um 16:49 Uhr
Der NetGear supportet gar kein L2TP !
http://www.netgear.de/Produkte/Router/Wireless/FVG318/index.html
Da wirst du also generell schon mal scheitern. Dein Log sagt das auch ganz deutlich: "2010-09-29 : ERROR: Invalid SA protocol type: 0"
NetGear, einer der übelsten Vertreter in der VPN Welt, supportet ausschliesslich nur VPNs mit IPsec im ESP Modus !
Vergiss das also mit Openswan wenn die kein IPsec ESP supporten.
Installier dir lieber den Shrew VPN Client auf deinem Linux Host:
http://www.shrew.net/download/ike
und sieh dir das netGear HowTo an wie man das zum Fliegen bringt:
http://www.shrew.net/support/wiki/HowtoNetgear

Da Shrew auch mit OpenSWAN funktioniert:
http://www.shrew.net/support/wiki/HowtoOpenSwan
sollte OpenSWAN dann eigentlich auch IPsec / ESP können. Vielleicht hast du nur einfach die falschen Parameter eingestellt und solltest mal die aus dem Shrew HowTo verwenden. L2TP geht de facto nicht mit dem NetGear Geraffel.
Bitte warten ..
Mitglied: AzubiLE
29.09.2010 um 17:10 Uhr
Danke für die Antwort.

In dem HowTo wird es so beschrieben, dass die Linux-Maschine der Client ist, es soll ja aber eine Verbindung vom Router zur Linux-Maschine
aufgebaut werden. Sprich der Router ist der Initiator und die Linux-Maschine "wartet" auf die Verbindungsanfrage.

Gruß
AzubiLE
Bitte warten ..
Mitglied: aqui
29.09.2010 um 18:26 Uhr
Ist doch das gleiche in grün wie oben. Wenn das VPN Protokoll nicht stimmt kommen die niemals zueinander !
Die Openswan Konfig muss dann in jedem Falle IPsec/ESP sprechen !
Bitte warten ..
Mitglied: AzubiLE
30.09.2010 um 09:13 Uhr
Ok mit dem Link: http://www.shrew.net/support/wiki/HowtoNetgear kann ich versuchen den Router zu konfigurieren
was mache ich aber mit der Beispielkonfiguration von http://www.shrew.net/support/wiki/HowtoOpenSwan#OpenSwanSetup,
da wird ja mit Zertifikaten gearbeitet, ich möchte das aber mit PSK realisieren oder hab ich da jetzt was falsch verstanden?

Gruß
AzubiLE
Bitte warten ..
Mitglied: aqui
30.09.2010 um 18:48 Uhr
Das ist egal, das klappt auch mit Preshared Keys problemlos !
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...

DSL, VDSL
DSL-Signal bewerten (8)

Frage von SarekHL zum Thema DSL, VDSL ...