StrongSWAN / FreeSWAN - Kompatibilität?

irobot · 5. Dezember 2011

Hallo,

ich habe ein Problem mit meiner Stronswan-Installation auf einem openSuSE 11.4 - Server. Es besteht darin, dass ich einen Tunnel zu einem FreeSWAN-Client mit fester IP-Adresse (ein älteres SuSE-7.3-Linux) aufbauen möchte. Mit einem alten SuSE und einem zentralen FreeSWAN-Server klappt alles prima, aber nicht mit StrongSWAN auf SuSE 11.4.
Nach einiger Konfigurationsarbeit mit der ipsec.conf und den x509-Zertifikaten wird der VPN-Tunnel auf der FreeSWAN-Seite via

rpipsec restart

isec auto --up NAME

aufgebaut (... ISAKMP established!), aber mir gelingt es nicht, irgend etwas durch den Tunnel zu schicken. Nicht mal 'nen ping.

Ist die Kombination StrongSWAN-Server/FreeSWAN-Client überhaupt möglich?

Bin für jede Hilfe dankbar.

P.S.

Dieser Beitrag lässt sich auch im im Server-Support-Forum verfolgen.

Viele Grüße
IRobot

irobot · 6. Dezember 2011

Zur genaueren Erläuterung hier eine Skizze:

.............SUN..........................EARTH.............
10.0.0.0/24==1.2.3.4---1.2.3.5...2.3.4.6--2.3.4.5==10.30.2.0/24
.....STRONGSWAN...................FREEWSWAN.......

Sämtliche Firewalls sind für die Testphase abgeschaltet. Die private IP des EARTH-Routers ist 10.30.2.1.

SUN (StrongSWAN)

Code

/etc/ipsec.conf 


config setup 
nat_traversal=no 
interfaces="ipsec0=eth1" 
klipsdebug=all 
plutodebug=all 
plutostart=yes 
charonstart=no 


conn %default 
auto=route 
authby=rsasig 
left=1.2.3.4 
leftnexthop=1.2.3.5 
leftsubnet=10.0.0.0/8 
leftcert=gatewayCert.pem 
type=tunnel 
leftid="C=DE, ..." 
keyingtries=0 
keyexchange=ikev1 


conn EARTH 
rightid="C=DE, ..." 
leftsubnet=10.0.0.0/8 
compress=yes 
right=%any 
rightsubnet=10.30.2.0/24 
auto=add

Alles anzeigen

EARTH (FreeSWAN)

Code

/etc/ipsec.conf 


config setup 
interfaces=%defaultroute 
klipsdebug=none 
plutodebug=none 
plutoload=%search 
plutostart=%search 
uniqueids=yes 
overridemtu=1492 


conn %default 
authby=rsasig 
leftrsasigkey=%cert 
keyingtries=0 
left=1.2.3.4 
leftnexthop=1.2.3.5 
leftsubnet=10.0.0.0/8 
leftid="C=DE, ..." 


conn EARTH 
rightid="C=DE, ..." 
compress=yes 
rightcert=EartCert.pem 
right=2.3.4.5 
rightnexthop=2.3.4.6 
rightsubnet=10.30.2.0/24 
auto=add

Alles anzeigen

Auf SUN:

Code

rcipsec restart

Auf EARTH

Code

>rcipsec restart 
>ipsec auto --up EARTH 
104 "EARTH" #1: STATE_MAIN_I1: initiate 
003 "EARTH" #1: ignoring Vendor ID payload 
003 "EARTH" #1: ignoring Vendor ID payload 
003 "EARTH" #1: ignoring Vendor ID payload 
003 "EARTH" #1: ignoring Vendor ID payload 
106 "EARTH" #1: STATE_MAIN_I2: sent MI2, expecting MR2 
108 "EARTH" #1: STATE_MAIN_I3: sent MI3, expecting MR3 
004 "EARTH" #1: STATE_MAIN_I4: ISAKMP SA established 
112 "EARTH" #1: STATE_QUICK_I1: Initiate 
004 "EARTH" #1: STATE_QUICK_I2: sent QI12, IPsec SA established

Alles anzeigen

Anscheinend erfolrgeich. Wenn ich nun von einem Client des 10.0.0.0er Netzwerks die private IP des Routers 10.30.2.1 oder eine IP aus dem 10.30.2.0er Netz anpinge, erhalte ich beim Client lediglich:

Code

>ping 10.30.2.1 
Antwort von 1.2.3.5: Zielnetz nicht erreichbar.

Gruß
IRobot

StrongSWAN / FreeSWAN - Kompatibilität?

Neuinstallation leap 15.5: init Prozess scheitert beim Booten - Kernel Panik

Grafik ruckelt beim Filme schauen

Tastaturabfrage unter C

USB WLAN Sticks für Opensuse?

USB Kamera nur von Zoom benutzbar

MichaRadius

A_Kueb

Kukulkan

vpn

Nidrnox

Teilen

Tags