[linux-l] FreeS/WAN 2.00 mit x509-1.3.4 Patch, Routing will nicht

Glatzel Tino tino.glatzel at badenIT.de
Mo Jun 2 10:02:11 CEST 2003


Hallo Liste,

seit einiger Zeit versuche ich verzweifelt eine IPSEC-Verbindung zwischen
meinem Linux-System und einer Windows XP Maschine hinzubekommen.
Linux-System:
Debian 3.0, FreeS/WAN 2.00, X509-Patch 1.3.4, Kernel 2.4.20

Windows:
XP, SP1, ipsec.exe von Markus Müller


Wenn die Windows-Maschine im gleichen Subnet wie das IPSEC-Interface der
Linux-Box ist, funktioniert die Sache. Ist die Windows-Maschine in einem
anderen Segment, wird zwar der Tunnel aufgebaut es kommt jedoch kein Ping
durch.

Im gleichen Segment:

ping 192.168.100.1

Ping wird ausgeführt für 192.168.100.1 mit 32 Bytes Daten:

IP-Sicherheit wird verhandelt.
Antwort von 192.168.100.1: Bytes=32 Zeit=3ms TTL=64
Antwort von 192.168.100.1: Bytes=32 Zeit=3ms TTL=64
Antwort von 192.168.100.1: Bytes=32 Zeit=2ms TTL=64


Im anderen Segment:

ping 192.168.100.1 -t

Ping wird ausgeführt für 192.168.100.1 mit 32 Bytes Daten:

IP-Sicherheit wird verhandelt.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

Mit tcpdump -i eth0 sehe ich folgendes:
08:04:38.918363 10.15.1.14 > 10.1.15.155: ESP(spi=0x75707819,seq=0xb)
Einen Rückweg sehe ich nicht.

Hier meine Config-Dateien:
Linux:
cat /etc/ipsec.conf


version 2.0


config setup
        klipsdebug=all
        plutodebug=all
        interfaces="ipsec0=eth0"
        forwardcontrol=yes
        rp_filter=0
        syslog=daemon.error
        pluto=yes
        plutowait=no
        fragicmp=yes
        #packetdefault=drop
        hidetos=yes
        uniqueids=yes
        #postpluto=/opt/freeswan-fwrules/bin/freeswan-post.sh



conn road-net
        type=tunnel
        left=10.1.15.155
        leftsubnet=192.168.100.0/24
        leftcert=vpn.swfr.cert.pem
        leftid="C=DE, ST=Baden, O=xxx, OU=xxx, CN=xxx"
        right=%any
        rightid="C=DE, ST=Baden, O=xxx, OU=xxx, CN=*"
        keyexchange=ike
        auto=add
        auth=esp
        authby=rsasig
        leftrsasigkey=%cert
        rightrsasigkey=%cert
        pfs=yes
        keylife=8h
        rekey=yes
        rekeymargin=9m
        rekeyfuzz=25%
        keyingtries=0
        ikelifetime=8h
        compress=no
        disablearrivalcheck=no
        failureshunt=none




Windows:



conn road-net
	left=%any
	right=10.1.15.155
	rightsubnet=192.168.100.0/24
	rightca="C=DE, S=Baden, L=xxx, O=xxx, OU=xxx, CN=xxx"
	rekey=540S/50000K
	network=auto
	auto=start
	pfs=yes




Für einen Tipp bin ich sehr dankbar.

Tino




Mehr Informationen über die Mailingliste linux-l