[linux-l] FreeS/WAN 2.00 mit x509-1.3.4 Patch, Routing will nicht
Glatzel Tino
tino.glatzel at badenIT.de
Mo Jun 2 10:02:11 CEST 2003
Hallo Liste,
seit einiger Zeit versuche ich verzweifelt eine IPSEC-Verbindung zwischen
meinem Linux-System und einer Windows XP Maschine hinzubekommen.
Linux-System:
Debian 3.0, FreeS/WAN 2.00, X509-Patch 1.3.4, Kernel 2.4.20
Windows:
XP, SP1, ipsec.exe von Markus Müller
Wenn die Windows-Maschine im gleichen Subnet wie das IPSEC-Interface der
Linux-Box ist, funktioniert die Sache. Ist die Windows-Maschine in einem
anderen Segment, wird zwar der Tunnel aufgebaut es kommt jedoch kein Ping
durch.
Im gleichen Segment:
ping 192.168.100.1
Ping wird ausgeführt für 192.168.100.1 mit 32 Bytes Daten:
IP-Sicherheit wird verhandelt.
Antwort von 192.168.100.1: Bytes=32 Zeit=3ms TTL=64
Antwort von 192.168.100.1: Bytes=32 Zeit=3ms TTL=64
Antwort von 192.168.100.1: Bytes=32 Zeit=2ms TTL=64
Im anderen Segment:
ping 192.168.100.1 -t
Ping wird ausgeführt für 192.168.100.1 mit 32 Bytes Daten:
IP-Sicherheit wird verhandelt.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Mit tcpdump -i eth0 sehe ich folgendes:
08:04:38.918363 10.15.1.14 > 10.1.15.155: ESP(spi=0x75707819,seq=0xb)
Einen Rückweg sehe ich nicht.
Hier meine Config-Dateien:
Linux:
cat /etc/ipsec.conf
version 2.0
config setup
klipsdebug=all
plutodebug=all
interfaces="ipsec0=eth0"
forwardcontrol=yes
rp_filter=0
syslog=daemon.error
pluto=yes
plutowait=no
fragicmp=yes
#packetdefault=drop
hidetos=yes
uniqueids=yes
#postpluto=/opt/freeswan-fwrules/bin/freeswan-post.sh
conn road-net
type=tunnel
left=10.1.15.155
leftsubnet=192.168.100.0/24
leftcert=vpn.swfr.cert.pem
leftid="C=DE, ST=Baden, O=xxx, OU=xxx, CN=xxx"
right=%any
rightid="C=DE, ST=Baden, O=xxx, OU=xxx, CN=*"
keyexchange=ike
auto=add
auth=esp
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
pfs=yes
keylife=8h
rekey=yes
rekeymargin=9m
rekeyfuzz=25%
keyingtries=0
ikelifetime=8h
compress=no
disablearrivalcheck=no
failureshunt=none
Windows:
conn road-net
left=%any
right=10.1.15.155
rightsubnet=192.168.100.0/24
rightca="C=DE, S=Baden, L=xxx, O=xxx, OU=xxx, CN=xxx"
rekey=540S/50000K
network=auto
auto=start
pfs=yes
Für einen Tipp bin ich sehr dankbar.
Tino
Mehr Informationen über die Mailingliste linux-l