• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Brauche hilfe IPSEC/VPN Verbindung zu Bintec Hardware Router

Lightmans

Newbie
Hallo Freunde!
Ich bin auf der suche nach einem Netzwerkspezialisten der mit bei einer IPSEC/VPN verbindung helfen kann!?
Hintergrund:
Bei mir auf der Arbeit habe ich Homeoffice angeboten bekommen,
-> das heist ich müsste von zu Hause aus mit Linux ubuntu 8.04 -> eine IPsec/Vpn verbindung zur Firma herstellen über einen Bintec Hardware Router.
Damit ich dann später dann über RDP oder VNC auf dem Terminalserver eine Session starten kann und Remote arbeite.
Später soll auch VoiceoverIP dazu kommen, damit ich auch in der Telefonanlage mit drin bin und Telefonieren kann, als ob ich in der Firma währe.

Nun hier ist jemand gesucht oder gefragt der so eine Verbindung schon malhersgestellt hat!?

1.) Mein erstes Problem ist das ich gar nicht weiss welches Paket ich unter Linux für diese Verbindung nutzen/installieren soll?
Code:
root@ubuntu64:/etc# apt-cache search ipsec 
ipsec-tools - IPsec tools for Linux 
racoon - IPsec IKE keying daemon 
grml-vpn - program to establish encrypted communication channels in a network 
ike - Shrew Soft VPN client - Daemon and libraries 
ike-qtgui - Shrew Soft VPN client - Connection manager 
ike-scan - discover and fingerprint IKE hosts (IPsec VPN Servers) 
isakmpd - The Internet Key Exchange protocol openbsd implementation 
kvpnc - vpn clients frontend for KDE 
linux-patch-openswan - IPSEC Linux kernel support for Openswan 
openswan - IPSEC utilities for Openswan 
openswan-modules-source - IPSEC kernel modules source for Openswan 
pipsecd - IPsec tunnel implementation 
strongswan - IPSec utilities for strongSwan 
root@ubuntu64:/etc#
2.) Natürlich habe ich schon ein wenig gegoogelt und auch schon ausprobiert, und ich versuche gerade mein glück mit Openswan.
Derzeit sieht mein /etc/ipsec.conf und /etc/ipsec.secret so aus:
Code:
Code:
root@ubuntu64:/etc# cat ipsec.conf 
# /etc/ipsec.conf - Openswan IPsec configuration file 
version 2.0     # conforms to second version of ipsec.conf specification 

# basic configuration 
config setup 
        # plutodebug / klipsdebug = "all", "none" or a combation from below: 
        # "raw crypt parsing emitting control klips pfkey natt x509 private" 
        # eg: plutodebug="control parsing" 
        # 
        # ONLY enable plutodebug=all or klipsdebug=all if you are a developer !! 
        # 
        # NAT-TRAVERSAL support, see README.NAT-Traversal 
        nat_traversal=yes 
        # virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 
        # 
        # enable this if you see "failed to find any available worker" 
        nhelpers=0 
        plutodebug=all 

# Add connections here 

conn bintec 
    left=%defaultroute 
    leftsubnet=172.13.0.0/23 
    leftid= xxxxxxx (name????) 
    right= xxx.xxx.xxx.xxx  wanip/internet adresse des bintec routers zb. 194.25.0.60 oder????? 
    rightid= xxxxxx (Peer ID/name???) 
    rightsubnet=172.13.2.111/32 
    rightnexthop=%defaultroute 
    pfs=yes 
    auth=esp 
    keyexchange=ike 
    auto=start 
    type=tunnel 
    authby=secret 

# sample VPN connections, see /etc/ipsec.d/examples/ 

#Disable Opportunistic Encryption 
include /etc/ipsec.d/examples/no_oe.conf

Hier meine Ipsec.secrets ->

Code:
root@ubuntu64:/etc# cat ipsec.secrets 
# RCSID $Id: ipsec.secrets.proto,v 1.3.6.1 2005/09/28 13:59:14 paul Exp $ 
: PSK "123" 
root@ubuntu64:/etc#

Mach ich das so richtig oder bin ich hier total auf dem falschen Dampfer ?
Ich mache so eine Verbindung zum ersten mal und die Techniker bei mir in der Firma sagen: "das Sie unter Linux diese Verbindung bis jetzt auch nicht zum laufen bekommen haben" LOL

Aber unter Windows soll das wunderbar funktieren.
#-> Das heißt für mich das es unter Linux auf jedenfall gehen muss.

Ich habe diese Daten noch bekommen von den Techniker bei uns für die Verbindung:
Vielleicht hilft euch das weiter und ihr könnt daraus irgendwas erkennen oder sehen.

PeerID: aw@blablala.de
PSK: 123
IKE Phase1:
- Proposal 3DES/Md5
- Lifetime 28800s
- kbytes 0
- DH Group 2
- Mode Id_Protect
- Local ID -> blabalal
IPsec Phase2:
- Proposal 3DES/Md5
- Lifetime 3600s
- kbytes 11000
- PFS Group 2

Traffic List:
local 172.13.0.0/23
remote 172.13.2.111/32

Ich hoffe mir kann einer hier weiterhelfen!!!!
Bitteeee, ich will endlich Homeoffice machen und nicht mit Windows arbeiten

Gruss
Lightmans
 

nbkr

Guru
Ich mache so eine Verbindung zum ersten mal und die Techniker bei mir in der Firma sagen: "das Sie unter Linux diese Verbindung bis jetzt auch nicht zum laufen bekommen haben" LOL

IPSec VPNs sind relativ umständlich zu konfigurieren, wenn man das mit anderen Lösungen vergleicht. Das ist aber Betriebssystemsunabhängig. Allerdings muss man auch sagen, das die IPSec Implementierung von Bintec auch ziemlich zu wünschen übrig lässt.

Nichts desto trotz geht es auch unter Linux recht gut, wenn man die Konfighürde genommen hat.

Als erstes:
Code:
apt-get install ipsec-tools openswan-modules-source

Dann gehts an die Konfig. Die Konfig die Du hast ist soweit Ok. Evtl. müssen noch ein paar der Parameter explizit gesetzt werden, damit es zu den Daten des Technikers passt.

Left ist die öffentliche IP Adresse bzw. die URL des Bintec Routers.
LeftID würde ich @firma wählen und rightID @ich - die Infos braucht IPSec nur um die Passwörter zuzuordnen. Da Du PreSharedKeys einsetzt, sind die Namen Schall und Rauch. Entsprechend bewirkt das @ davor das openswan nicht versucht die Namen einer IP zuzuweisen.

Right ist übrigens nicht defaultroute sondern die IP des Interfaces an der IPSec hören soll.

Das PSK in der secrets ist noch falsch eingetragen, das müsste so heißen:
Code:
@firma @ich: PSK "123"

-> Wobei 123 hoffentlich nicht das richtige Passwort ist, weil Du das sonst gleich wieder ändern kannst. Das heißt ja nicht umsonst "Secret".
 

nbkr

Guru
Lange Rede kurzer Sinn, so sollte die Konfig aussehen, wenn ich mich nicht verhauen habe.

Code:
# /etc/ipsec.conf - Openswan IPsec configuration file
version 2.0     # conforms to second version of ipsec.conf specification

# basic configuration
config setup
        # plutodebug / klipsdebug = "all", "none" or a combation from below:
        # "raw crypt parsing emitting control klips pfkey natt x509 private"
        # eg: plutodebug="control parsing"
        #
        # ONLY enable plutodebug=all or klipsdebug=all if you are a developer !!
        #
        # NAT-TRAVERSAL support, see README.NAT-Traversal
        nat_traversal=yes
        # virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
        #
        # enable this if you see "failed to find any available worker"
        nhelpers=0
        plutodebug=all

# Add connections here

conn bintec
    left=bintecip
    leftsubnet=172.13.0.0/23
    leftid=@firma
    right=deineIPamVPNRechner
    rightid=@blablabla
    rightsubnet=172.13.2.111/32
    rightnexthop=%defaultroute
    pfs=yes
    ike=3des-md5-mopd1024
    auto=start
    ikelifetime=28800s
    keylife=3600s
    authby=secret

# sample VPN connections, see /etc/ipsec.d/examples/

#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf

Danach nicht vergessen bei einem Router die UDP 500 und 4500 auf den VPN Server weiterzuleiten. ESP als Protokoll könnte man auch noch weiterleiten, aber sich schätze mal Du machst sowieso ein NAT.

Nicht zu vergessen, Du brauchst evtl. noch ein NAT, wenn Du mit mehr als dem VPN Rechner ins Firmennetz willst.
 

Grothesk

Ultimate Guru
Scheint ja ein weit verbreitetes Problem zu sein:
http://www.linux-forum.de/brauche-hilfe-ipsec-vpn-verbindung-zu-bintec-hardware-router-15084.html
 
OP
L

Lightmans

Newbie
Hallo Danke erst mal für deine Anwort!!!!
Ja leider scheint es wirklich mit Bintec und Linux Probleme zu geben :)
Aber egal, das muss irgendwie funktionieren :)
Wenn das unter Windows funktioniert, dann gibt es für Linux nit sicherheit auch ne Lösung. Ich lasse micht nicht gerne von MS eingrenßen :)

Auf jedenfall bin ich durch deinen Post ein wenig klüger geworden.
Ich habes auch direkt mal uausprobiert und bekomme in der /etc/log/daemon.log folgende FM:
Code:
May 14 13:32:51 ubuntu64 ipsec_setup: NETKEY on wlan0 88.152.133.217/255.255.248.0 broadcast 88.152.135.255
May 14 13:32:51 ubuntu64 ipsec_setup: ...Openswan IPsec started
May 14 13:32:51 ubuntu64 ipsec_setup: Starting Openswan IPsec U2.4.9/K2.6.24-16-generic...
May 14 13:32:51 ubuntu64 ipsec__plutorun: 022 "bintec": we cannot identify ourselves with either end of this connection
May 14 13:32:51 ubuntu64 ipsec__plutorun: ...could not route conn "bintec"
May 14 13:32:51 ubuntu64 ipsec__plutorun: 022 "bintec": We cannot identify ourselves with either end of this connection.
May 14 13:32:51 ubuntu64 ipsec__plutorun: ...could not start conn "bintec"

Dann habe ich noch eine frage zu dem part:
right=172.13.0.10 -> welche Ip soll ich hier nehmen? das ist doch die ip bei mir local oder? kann ich da auch 192.168.0.2 zb benutzen?
rightid=@ich
rightsubnet=172.13.0.0/24

Danke dir im voraus für deine Hilfe !!!!
Bin mal gespannt ob wir das hinkriegen :)

Grüsse aus Düsseldorf,
Lightmans
 

nbkr

Guru
Lightmans schrieb:
Wenn das unter Windows funktioniert, dann gibt es für Linux nit sicherheit auch ne Lösung.

Die Erfahrung zeigt, dass der Satz - "Wenns Unter X geht, muss es auch unter Y gehen." - ehrer als falsche Aussage betrachtet werden muss.

Code:
May 14 13:32:51 ubuntu64 ipsec_setup: NETKEY on wlan0 88.152.133.217/255.255.248.0 broadcast 88.152.135.255
May 14 13:32:51 ubuntu64 ipsec_setup: ...Openswan IPsec started
May 14 13:32:51 ubuntu64 ipsec_setup: Starting Openswan IPsec U2.4.9/K2.6.24-16-generic...
May 14 13:32:51 ubuntu64 ipsec__plutorun: 022 "bintec": we cannot identify ourselves with either end of this connection
May 14 13:32:51 ubuntu64 ipsec__plutorun: ...could not route conn "bintec"
May 14 13:32:51 ubuntu64 ipsec__plutorun: 022 "bintec": We cannot identify ourselves with either end of this connection.
May 14 13:32:51 ubuntu64 ipsec__plutorun: ...could not start conn "bintec"

Die right Einstellung stimmt nicht. Das muss eine IP sein über die dein Rechner verfügt. Üblicherweise die IP von eth0. Sonst weiß dein Rechner nicht ob er bei dem Tunnel links oder rechts sitzt.

Dann habe ich noch eine frage zu dem part:
right=172.13.0.10 -> welche Ip soll ich hier nehmen? das ist doch die ip bei mir local oder? kann ich da auch 192.168.0.2 zb benutzen?

Nicht nur kann, musst!

rightid=@ich
rightsubnet=172.13.0.0/24

rightsubnet ist falsch. Rechts = Deine Seite = Deine Netzwerkdaten. In dem Fall vermutlich die 172.13.2.111/32 die dein Admin dir gesagt hat. Wie gesagt, Du brauchst da auch noch ein NAT von 192.168.irgendwas auf 172.13.2.111.
 
OP
L

Lightmans

Newbie
nbkr schrieb:
Lange Rede kurzer Sinn, so sollte die Konfig aussehen, wenn ich mich nicht verhauen habe.

Code:
# /etc/ipsec.conf - Openswan IPsec configuration file
version 2.0     # conforms to second version of ipsec.conf specification

# basic configuration
config setup
        # plutodebug / klipsdebug = "all", "none" or a combation from below:
        # "raw crypt parsing emitting control klips pfkey natt x509 private"
        # eg: plutodebug="control parsing"
        #
        # ONLY enable plutodebug=all or klipsdebug=all if you are a developer !!
        #
        # NAT-TRAVERSAL support, see README.NAT-Traversal
        nat_traversal=yes
        # virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
        #
        # enable this if you see "failed to find any available worker"
        nhelpers=0
        plutodebug=all

# Add connections here

conn bintec
    left=bintecip
    leftsubnet=172.13.0.0/23
    leftid=@firma
    right=deineIPamVPNRechner
    rightid=@blablabla
    rightsubnet=172.13.2.111/32
    rightnexthop=%defaultroute
    pfs=yes
    ike=3des-md5-mopd1024
    auto=start
    ikelifetime=28800s
    keylife=3600s
    authby=secret

# sample VPN connections, see /etc/ipsec.d/examples/

#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf

Danach nicht vergessen bei einem Router die UDP 500 und 4500 auf den VPN Server weiterzuleiten. ESP als Protokoll könnte man auch noch weiterleiten, aber sich schätze mal Du machst sowieso ein NAT.

Nicht zu vergessen, Du brauchst evtl. noch ein NAT, wenn Du mit mehr als dem VPN Rechner ins Firmennetz willst.

Hallo, habs auch mal ausprobiert und angepasst und bekome diesen Fehler:

Code:
May 14 13:59:43 ubuntu64 ipsec_setup: NETKEY on wlan0 88.152.133.217/255.255.248.0 broadcast 88.152.135.255
May 14 13:59:43 ubuntu64 ipsec_setup: ...Openswan IPsec started
May 14 13:59:43 ubuntu64 ipsec_setup: Starting Openswan IPsec U2.4.9/K2.6.24-16-generic...
May 14 13:59:43 ubuntu64 ipsec__plutorun: 034 esp string error: modp group not found, enc_alg="3des", auth_alg="md5", modp="mopd1024"
May 14 13:59:43 ubuntu64 ipsec__plutorun: ...could not add conn "bintec"
May 14 13:59:43 ubuntu64 ipsec__plutorun: 021 no connection named "bintec"
May 14 13:59:43 ubuntu64 ipsec__plutorun: ...could not route conn "bintec"
May 14 13:59:44 ubuntu64 ipsec__plutorun: 021 no connection named "bintec"
May 14 13:59:44 ubuntu64 ipsec__plutorun: ...could not start conn "bintec"
 
OP
L

Lightmans

Newbie
Hallo, ich bins nochnal.. wollte noch ein paar infos für euch geben:

Code:
root@ubuntu64:/etc# ifconfig
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:84476 errors:0 dropped:0 overruns:0 frame:0
          TX packets:84476 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:14343359 (13.6 MB)  TX bytes:14343359 (13.6 MB)

wlan0     Link encap:Ethernet  HWaddr 00:13:46:b0:90:d3
          inet addr:88.152.133.217  Bcast:88.152.135.255  Mask:255.255.248.0
          inet6 addr: fe80::213:46ff:feb0:90d3/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:627503 errors:1036 dropped:0 overruns:0 frame:0
          TX packets:145799 errors:2 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:65170830 (62.1 MB)  TX bytes:29973083 (28.5 MB)
          Interrupt:18 Base address:0xe000

wlan0:1   Link encap:Ethernet  HWaddr 00:13:46:b0:90:d3
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:18 Base address:0xe000

conn bintec
    left= xxxxx wan ip des bintec routers :)
    leftsubnet=172.13.0.0/23
    leftid=@firma
    right=192.168.0.1 -> das ist meine virtuelle wlan0:1 ip -> das müsste doch gehen oder?
    rightid=@ich
    rightsubnet=172.13.2.111/32
    rightnexthop=%defaultroute
    pfs=yes
    ike=3des-md5-mopd1024
    auto=start
    ikelifetime=28800s
    keylife=3600s
    authby=secret

dabei bekomme ich abr den oben genannten fehler

Code:
May 14 14:43:19 ubuntu64 ipsec_setup: NETKEY on wlan0 88.152.133.217/255.255.248.0 broadcast 88.152.135.255
May 14 14:43:19 ubuntu64 ipsec_setup: ...Openswan IPsec started
May 14 14:43:19 ubuntu64 ipsec_setup: Starting Openswan IPsec U2.4.9/K2.6.24-16-generic...
May 14 14:43:20 ubuntu64 ipsec__plutorun: 034 esp string error: modp group not found, enc_alg="3des", auth_alg="md5", modp="mopd1024"
May 14 14:43:20 ubuntu64 ipsec__plutorun: ...could not add conn "bintec"
May 14 14:43:20 ubuntu64 ipsec__plutorun: 021 no connection named "bintec"
May 14 14:43:20 ubuntu64 ipsec__plutorun: ...could not route conn "bintec"
May 14 14:43:20 ubuntu64 ipsec__plutorun: 021 no connection named "bintec"
May 14 14:43:20 ubuntu64 ipsec__plutorun: ...could not start conn "bintec"
 
OP
L

Lightmans

Newbie
nbkr schrieb:
Lass das -modp1024 mal weg und nimm nur 3des-md5

hab isch ....
dann bekomme ich diesen Fehler:

Code:
May 14 14:44:43 ubuntu64 ipsec_setup: NETKEY on wlan0 88.152.133.217/255.255.248.0 broadcast 88.152.135.255
May 14 14:44:43 ubuntu64 ipsec_setup: ...Openswan IPsec started
May 14 14:44:43 ubuntu64 ipsec_setup: Starting Openswan IPsec U2.4.9/K2.6.24-16-generic...
May 14 14:44:43 ubuntu64 ipsec__plutorun: 104 "bintec" #1: STATE_MAIN_I1: initiate
May 14 14:44:43 ubuntu64 ipsec__plutorun: ...could not start conn "bintec"
 

nbkr

Guru
Schau mal ob in den anderen Logs noch mehr steht, ansonsten Loglevel hochdrehen. Mit der Info alleine gehts nicht weiter.
 
OP
L

Lightmans

Newbie
nbkr schrieb:
Schau mal ob in den anderen Logs noch mehr steht, ansonsten Loglevel hochdrehen. Mit der Info alleine gehts nicht weiter.

Hallo,
ich habe das in der auth.log gefunden:
Und wo kann ich den debug level für ipsec oder openswan erhöhen :) ?
Kann da keine Info zu finden....

Danke dir im vorauis nochmal für deine Hilfe und deine Zeit !!!!
Gruss
Lightmans

Code:
root@ubuntu64:/var/log# tail -n 100 auth.log
May 14 14:46:33 ubuntu64 pluto[27859]: |   cd 60 46 43  35 df 21 f8  7c fd b2 fc  68 b6 a4 48
May 14 14:46:33 ubuntu64 pluto[27859]: |   0d 00 00 14  90 cb 80 91  3e bb 69 6e  08 63 81 b5
May 14 14:46:33 ubuntu64 pluto[27859]: |   ec 42 7b 1f  00 00 00 14  44 85 15 2d  18 b6 bb cd
May 14 14:46:33 ubuntu64 pluto[27859]: |   0b e8 a8 46  95 79 dd cc
May 14 14:46:33 ubuntu64 pluto[27859]: | inserting event EVENT_RETRANSMIT, timeout in 40 seconds for #1
May 14 14:46:33 ubuntu64 pluto[27859]: | next event EVENT_PENDING_PHASE2 in 10 seconds
May 14 14:46:43 ubuntu64 pluto[27859]: |
May 14 14:46:43 ubuntu64 pluto[27859]: | *time to handle event
May 14 14:46:43 ubuntu64 pluto[27859]: | handling event EVENT_PENDING_PHASE2
May 14 14:46:43 ubuntu64 pluto[27859]: | event after this is EVENT_RETRANSMIT in 30 seconds
May 14 14:46:43 ubuntu64 pluto[27859]: | inserting event EVENT_PENDING_PHASE2, timeout in 120 seconds
May 14 14:46:43 ubuntu64 pluto[27859]: | pending review: connection "bintec" checked
May 14 14:46:43 ubuntu64 pluto[27859]: | next event EVENT_RETRANSMIT in 30 seconds for #1
May 14 14:47:13 ubuntu64 pluto[27859]: |
May 14 14:47:13 ubuntu64 pluto[27859]: | *time to handle event
May 14 14:47:13 ubuntu64 pluto[27859]: | handling event EVENT_RETRANSMIT
May 14 14:47:13 ubuntu64 pluto[27859]: | event after this is EVENT_PENDING_PHASE2 in 90 seconds
May 14 14:47:13 ubuntu64 pluto[27859]: | processing connection bintec
May 14 14:47:13 ubuntu64 pluto[27859]: | handling event EVENT_RETRANSMIT for xxxxxipvonbintecxxxxxxx "bintec" #1
May 14 14:47:13 ubuntu64 pluto[27859]: | sending 248 bytes for EVENT_RETRANSMIT through wlan0:1:500 to xxxxxipvonbintecxxxxxxx:500:
May 14 14:47:13 ubuntu64 pluto[27859]: |   d9 b0 63 a4  1b 77 5e 58  00 00 00 00  00 00 00 00
May 14 14:47:13 ubuntu64 pluto[27859]: |   01 10 02 00  00 00 00 00  00 00 00 f8  0d 00 00 54
May 14 14:47:13 ubuntu64 pluto[27859]: |   00 00 00 01  00 00 00 01  00 00 00 48  00 01 00 02
May 14 14:47:13 ubuntu64 pluto[27859]: |   03 00 00 20  00 01 00 00  80 0b 00 01  80 0c 70 80
May 14 14:47:13 ubuntu64 pluto[27859]: |   80 01 00 05  80 02 00 01  80 03 00 01  80 04 00 05
May 14 14:47:13 ubuntu64 pluto[27859]: |   00 00 00 20  01 01 00 00  80 0b 00 01  80 0c 70 80
May 14 14:47:13 ubuntu64 pluto[27859]: |   80 01 00 05  80 02 00 01  80 03 00 01  80 04 00 02
May 14 14:47:13 ubuntu64 pluto[27859]: |   0d 00 00 10  4f 45 53 4a  49 6f 60 72  6b 63 64 62
May 14 14:47:13 ubuntu64 pluto[27859]: |   0d 00 00 14  af ca d7 13  68 a1 f1 c9  6b 86 96 fc
May 14 14:47:13 ubuntu64 pluto[27859]: |   77 57 01 00  0d 00 00 14  4a 13 1c 81  07 03 58 45
May 14 14:47:13 ubuntu64 pluto[27859]: |   5c 57 28 f2  0e 95 45 2f  0d 00 00 14  7d 94 19 a6
May 14 14:47:13 ubuntu64 pluto[27859]: |   53 10 ca 6f  2c 17 9d 92  15 52 9d 56  0d 00 00 14
May 14 14:47:13 ubuntu64 pluto[27859]: |   cd 60 46 43  35 df 21 f8  7c fd b2 fc  68 b6 a4 48
May 14 14:47:13 ubuntu64 pluto[27859]: |   0d 00 00 14  90 cb 80 91  3e bb 69 6e  08 63 81 b5
May 14 14:47:13 ubuntu64 pluto[27859]: |   ec 42 7b 1f  00 00 00 14  44 85 15 2d  18 b6 bb cd
May 14 14:47:13 ubuntu64 pluto[27859]: |   0b e8 a8 46  95 79 dd cc
May 14 14:47:13 ubuntu64 pluto[27859]: | inserting event EVENT_RETRANSMIT, timeout in 40 seconds for #1
May 14 14:47:13 ubuntu64 pluto[27859]: | next event EVENT_RETRANSMIT in 40 seconds for #1
May 14 14:47:53 ubuntu64 pluto[27859]: |
May 14 14:47:53 ubuntu64 pluto[27859]: | *time to handle event
May 14 14:47:53 ubuntu64 pluto[27859]: | handling event EVENT_RETRANSMIT
May 14 14:47:53 ubuntu64 pluto[27859]: | event after this is EVENT_PENDING_PHASE2 in 50 seconds
May 14 14:47:53 ubuntu64 pluto[27859]: | processing connection bintec
May 14 14:47:53 ubuntu64 pluto[27859]: | handling event EVENT_RETRANSMIT for xxxxxipvonbintecxxxxxxx "bintec" #1
May 14 14:47:53 ubuntu64 pluto[27859]: | sending 248 bytes for EVENT_RETRANSMIT through wlan0:1:500 to xxxxxipvonbintecxxxxxxx:500:
May 14 14:47:53 ubuntu64 pluto[27859]: |   d9 b0 63 a4  1b 77 5e 58  00 00 00 00  00 00 00 00
May 14 14:47:53 ubuntu64 pluto[27859]: |   01 10 02 00  00 00 00 00  00 00 00 f8  0d 00 00 54
May 14 14:47:53 ubuntu64 pluto[27859]: |   00 00 00 01  00 00 00 01  00 00 00 48  00 01 00 02
May 14 14:47:53 ubuntu64 pluto[27859]: |   03 00 00 20  00 01 00 00  80 0b 00 01  80 0c 70 80
May 14 14:47:53 ubuntu64 pluto[27859]: |   80 01 00 05  80 02 00 01  80 03 00 01  80 04 00 05
May 14 14:47:53 ubuntu64 pluto[27859]: |   00 00 00 20  01 01 00 00  80 0b 00 01  80 0c 70 80
May 14 14:47:53 ubuntu64 pluto[27859]: |   80 01 00 05  80 02 00 01  80 03 00 01  80 04 00 02
May 14 14:47:53 ubuntu64 pluto[27859]: |   0d 00 00 10  4f 45 53 4a  49 6f 60 72  6b 63 64 62
May 14 14:47:53 ubuntu64 pluto[27859]: |   0d 00 00 14  af ca d7 13  68 a1 f1 c9  6b 86 96 fc
May 14 14:47:53 ubuntu64 pluto[27859]: |   77 57 01 00  0d 00 00 14  4a 13 1c 81  07 03 58 45
May 14 14:47:53 ubuntu64 pluto[27859]: |   5c 57 28 f2  0e 95 45 2f  0d 00 00 14  7d 94 19 a6
May 14 14:47:53 ubuntu64 pluto[27859]: |   53 10 ca 6f  2c 17 9d 92  15 52 9d 56  0d 00 00 14
May 14 14:47:53 ubuntu64 pluto[27859]: |   cd 60 46 43  35 df 21 f8  7c fd b2 fc  68 b6 a4 48
May 14 14:47:53 ubuntu64 pluto[27859]: |   0d 00 00 14  90 cb 80 91  3e bb 69 6e  08 63 81 b5
May 14 14:47:53 ubuntu64 pluto[27859]: |   ec 42 7b 1f  00 00 00 14  44 85 15 2d  18 b6 bb cd
May 14 14:47:53 ubuntu64 pluto[27859]: |   0b e8 a8 46  95 79 dd cc
May 14 14:47:53 ubuntu64 pluto[27859]: | inserting event EVENT_RETRANSMIT, timeout in 40 seconds for #1
May 14 14:47:53 ubuntu64 pluto[27859]: | next event EVENT_RETRANSMIT in 40 seconds for #1
May 14 14:48:22 ubuntu64 pluto[27859]: |
May 14 14:48:22 ubuntu64 pluto[27859]: | *received whack message
May 14 14:48:22 ubuntu64 pluto[27859]: shutting down
May 14 14:48:22 ubuntu64 pluto[27859]: | certs and keys locked by 'free_preshared_secrets'
May 14 14:48:22 ubuntu64 pluto[27859]: forgetting secrets
May 14 14:48:22 ubuntu64 pluto[27859]: | certs and keys unlocked by 'free_preshard_secrets'
May 14 14:48:22 ubuntu64 pluto[27859]: | processing connection bintec
May 14 14:48:22 ubuntu64 pluto[27859]: "bintec": deleting connection
May 14 14:48:22 ubuntu64 pluto[27859]: | processing connection bintec
May 14 14:48:22 ubuntu64 pluto[27859]: "bintec" #1: deleting state (STATE_MAIN_I1)
May 14 14:48:22 ubuntu64 pluto[27859]: | deleting state #1
May 14 14:48:22 ubuntu64 pluto[27859]: | processing connection bintec
May 14 14:48:22 ubuntu64 pluto[27859]: | ICOOKIE:  d9 b0 63 a4  1b 77 5e 58
May 14 14:48:22 ubuntu64 pluto[27859]: | RCOOKIE:  00 00 00 00  00 00 00 00
May 14 14:48:22 ubuntu64 pluto[27859]: | peer:  3e 9f 43 14
May 14 14:48:22 ubuntu64 pluto[27859]: | state hash entry 6
May 14 14:48:22 ubuntu64 pluto[27859]: | delete eroute 172.13.0.0/23:0 --0-> 172.13.2.111/32:0 => int.0@192.168.0.1 (raw_eroute)
May 14 14:48:22 ubuntu64 pluto[27859]: | eroute_connection delete eroute 172.13.2.111/32:0 --0-> 172.13.0.0/23:0 => int.0@0.0.0.0 (raw_eroute)
May 14 14:48:22 ubuntu64 pluto[27859]: | route owner of "bintec" unrouted: NULL
May 14 14:48:22 ubuntu64 pluto[27859]: | command executing unroute-client
May 14 14:48:22 ubuntu64 pluto[27859]: | executing unroute-client: 2>&1 PLUTO_VERSION='1.1' PLUTO_VERB='unroute-client' PLUTO_CONNECTION='bintec' PLUTO_NEXT_HOP='88.152.128.1' PLUTO_INTERFACE='wlan0:1' PLUTO_ME='192.168.0.1' PLUTO_MY_ID='@ich' PLUTO_MY_CLIENT='172.13.2.111/32' PLUTO_MY_CLIENT_NET='172.13.2.111' PLUTO_MY_CLIENT_MASK='255.255.255.255' PLUTO_MY_PORT='0' PLUTO_MY_PROTOCOL='0' PLUTO_PEER='xxxxxipvonbintecxxxxxxx' PLUTO_PEER_ID='@firma' PLUTO_PEER_CLIENT='172.13.0.0/23' PLUTO_PEER_CLIENT_NET='172.13.0.0' PLUTO_PEER_CLIENT_MASK='255.255.254.0' PLUTO_PEER_PORT='0' PLUTO_PEER_PROTOCOL='0' PLUTO_PEER_CA='' PLUTO_CONN_POLICY='PSK+ENCRYPT+TUNNEL+PFS+UP'   ipsec _updown
May 14 14:48:22 ubuntu64 pluto[27859]: | alg_info_delref(0x6c32a0) alg_info->ref_cnt=2
May 14 14:48:22 ubuntu64 pluto[27859]: | crl fetch request list locked by 'free_crl_fetch'
May 14 14:48:22 ubuntu64 pluto[27859]: | crl fetch request list unlocked by 'free_crl_fetch'
May 14 14:48:22 ubuntu64 pluto[27859]: | authcert list locked by 'free_authcerts'
May 14 14:48:22 ubuntu64 pluto[27859]: | authcert list unlocked by 'free_authcerts'
May 14 14:48:22 ubuntu64 pluto[27859]: | crl list locked by 'free_crls'
May 14 14:48:22 ubuntu64 pluto[27859]: | crl list unlocked by 'free_crls'
May 14 14:48:22 ubuntu64 pluto[27859]: | ocsp cache locked by 'free_ocsp_cache'
May 14 14:48:22 ubuntu64 pluto[27859]: | ocsp cache unlocked by 'free_ocsp_cache'
May 14 14:48:22 ubuntu64 pluto[27859]: shutting down interface lo/lo ::1:500
May 14 14:48:22 ubuntu64 pluto[27859]: shutting down interface lo/lo 127.0.0.1:4500
May 14 14:48:22 ubuntu64 pluto[27859]: shutting down interface lo/lo 127.0.0.1:500
May 14 14:48:22 ubuntu64 pluto[27859]: shutting down interface wlan0:1/wlan0:1 192.168.0.1:4500
May 14 14:48:22 ubuntu64 pluto[27859]: shutting down interface wlan0:1/wlan0:1 192.168.0.1:500
May 14 14:48:22 ubuntu64 pluto[27859]: shutting down interface wlan0/wlan0 88.152.133.217:4500
May 14 14:48:22 ubuntu64 pluto[27859]: shutting down interface wlan0/wlan0 88.152.133.217:500
 
OP
L

Lightmans

Newbie
Hallo Freunde, so da bin ich nochmal....

Ich habe es mal jetzt mit Strongswan versucht.
Als ich Strongswan installiert habe wurde automatisch das openswan deinstalliert.

Es sieht jetzt zwar besser aus und ich denke ich bin jetzt schon weiter, aber leider wird die Verbindung immer noch nicht hergestellt! :(
Zu mindest bekomme ich nicht mehr die anderen Fehlermeldungen...

Den Debuglevel habe auch erhöht und ich bekomme ne menge mehr Informationen, die ich aber gar nicht mehr verstehe. Das ist eher was für den Profi :)

Also hier meine akuellen configs jetzt mit Strongswan:

Code:
root@ubuntu64:/etc# ifconfig 
lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:409 errors:0 dropped:0 overruns:0 frame:0
          TX packets:409 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:179147 (174.9 KB)  TX bytes:179147 (174.9 KB)

wlan0     Link encap:Ethernet  HWaddr 00:13:46:b0:90:d3  
          inet addr:88.152.133.217  Bcast:88.152.135.255  Mask:255.255.248.0
          inet6 addr: fe80::213:46ff:feb0:90d3/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:36444 errors:13 dropped:0 overruns:0 frame:0
          TX packets:6312 errors:18 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:3488368 (3.3 MB)  TX bytes:903267 (882.0 KB)
          Interrupt:19 Base address:0xe000 

wlan0:1   Link encap:Ethernet  HWaddr 00:13:46:b0:90:d3  
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:19 Base address:0xe000

Hier meine ipsec.conf ->

Code:
# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup
        plutodebug=all
        # crlcheckinterval=600
        # strictcrlpolicy=yes
        # cachecrls=yes
        # nat_traversal=yes
        charonstart=yes
        plutostart=yes

# Add connections here.

# Sample VPN connections

conn bintec
    left= xxx.xxx.xxx.xxx wan ip des bintec routers
    leftid=@firma
    leftsubnet=172.13.0.0/23
    right=192.168.0.1
    rightid=@ich
    rightsubnet=172.13.2.111/32
    rightnexthop=%defaultroute
    auto=start
    authby=psk
    pfs=yes
    ike=3des-md5
    ikelifetime=28800s
    keylife=3600s

include /var/lib/strongswan/ipsec.conf.inc

Meine Ipsec.secrets ist so:

Code:
@ich @firma: PSK "geheimessuperpassword"

Ich starte das ganze in der shell mit -> root@ubuntu64:/etc# ipsec start
Starting strongSwan 4.1.9 IPsec [starter]...

Meine /var/log/syslog sieht dann so aus:
Code:
root@ubuntu64:/etc# ipsec start
Starting strongSwan 4.1.9 IPsec [starter]...
May 14 18:47:45 ubuntu64 charon: 01[DMN] starting charon (strongSwan Version 4.1.9) 
May 14 18:47:45 ubuntu64 charon: 01[CFG] loading ca certificates from '/etc/ipsec.d/cacerts' 
May 14 18:47:45 ubuntu64 charon: 01[CFG] loading aa certificates from '/etc/ipsec.d/aacerts' 
May 14 18:47:45 ubuntu64 charon: 01[CFG] loading attribute certificates from '/etc/ipsec.d/acerts' 
May 14 18:47:45 ubuntu64 charon: 01[CFG] loading ocsp certificates from '/etc/ipsec.d/ocspcerts' 
May 14 18:47:45 ubuntu64 charon: 01[CFG] loading crls from '/etc/ipsec.d/crls' 
May 14 18:47:45 ubuntu64 charon: 01[CFG] loading secrets from "/etc/ipsec.secrets" 
May 14 18:47:45 ubuntu64 charon: 01[CFG]   loading shared key for @ich @firma 
May 14 18:47:45 ubuntu64 charon: 01[CFG] loading control interface modules from '/usr/lib/ipsec/plugins/interfaces' 
May 14 18:47:45 ubuntu64 charon: 01[CFG]   loaded control interface module successfully from libcharon-stroke.so 
May 14 18:47:45 ubuntu64 charon: 01[CFG] loading backend modules from '/usr/lib/ipsec/plugins/backends' 
May 14 18:47:45 ubuntu64 charon: 01[CFG]   loaded backend module successfully from libcharon-local.so 
May 14 18:47:45 ubuntu64 charon: 01[KNL] listening on interfaces: 
May 14 18:47:45 ubuntu64 charon: 01[KNL]   wlan0 
May 14 18:47:45 ubuntu64 charon: 01[KNL]     192.168.0.1 
May 14 18:47:45 ubuntu64 charon: 01[KNL]     88.152.133.217 
May 14 18:47:45 ubuntu64 charon: 01[KNL]     fe80::213:46ff:feb0:90d3 
May 14 18:47:45 ubuntu64 charon: 01[LIB] initializing libcurl 
May 14 18:47:45 ubuntu64 charon: 01[CFG] loading EAP modules from '/usr/lib/ipsec/plugins/eap' 
May 14 18:47:45 ubuntu64 charon: 01[JOB] spawning 16 worker threads 
May 14 18:47:45 ubuntu64 charon: 03[CFG] received stroke: add connection 'bintec' 
May 14 18:47:45 ubuntu64 charon: 03[CFG] added configuration 'bintec': 192.168.0.1[ich]...xxx.xxx.(wanipdesbintecrouters)xxx.xxx[firma]

Und hier ein kleiner auszug aus der /var/log/auth.log

Code:
May 14 18:50:05 ubuntu64 pluto[25080]: | *time to handle event
May 14 18:50:05 ubuntu64 pluto[25080]: | event after this is EVENT_REINIT_SECRET in 3460 seconds
May 14 18:50:05 ubuntu64 pluto[25080]: | handling event EVENT_RETRANSMIT for xxx.xxx.xxx.xxx(geheimeipdesbintec) "bintec" #2
May 14 18:50:05 ubuntu64 pluto[25080]: "bintec" #2: max number of retransmissions (2) reached STATE_MAIN_I1.  No response (or no acceptable response) to our first IKE message
May 14 18:50:05 ubuntu64 pluto[25080]: "bintec" #2: starting keying attempt 3 of at most 3
May 14 18:50:05 ubuntu64 pluto[25080]: | creating state object #3 at 0x6cd360
May 14 18:50:05 ubuntu64 pluto[25080]: | ICOOKIE:  a4 bc 76 aa  4b 1d 0a 6a
May 14 18:50:05 ubuntu64 pluto[25080]: | RCOOKIE:  00 00 00 00  00 00 00 00
May 14 18:50:05 ubuntu64 pluto[25080]: | peer:  3e 9f 43 14
May 14 18:50:05 ubuntu64 pluto[25080]: | state hash entry 22
May 14 18:50:05 ubuntu64 pluto[25080]: | inserting event EVENT_SO_DISCARD, timeout in 0 seconds for #3
May 14 18:50:05 ubuntu64 pluto[25080]: "bintec" #3: initiating Main Mode to replace #2
May 14 18:50:05 ubuntu64 pluto[25080]: | **emit ISAKMP Message:
May 14 18:50:05 ubuntu64 pluto[25080]: |    initiator cookie:
May 14 18:50:05 ubuntu64 pluto[25080]: |   a4 bc 76 aa  4b 1d 0a 6a
May 14 18:50:05 ubuntu64 pluto[25080]: |    responder cookie:
May 14 18:50:05 ubuntu64 pluto[25080]: |   00 00 00 00  00 00 00 00
May 14 18:50:05 ubuntu64 pluto[25080]: |    next payload type: ISAKMP_NEXT_SA
May 14 18:50:05 ubuntu64 pluto[25080]: |    ISAKMP version: ISAKMP Version 1.0
May 14 18:50:05 ubuntu64 pluto[25080]: |    exchange type: ISAKMP_XCHG_IDPROT
May 14 18:50:05 ubuntu64 pluto[25080]: |    flags: none
May 14 18:50:05 ubuntu64 pluto[25080]: |    message ID:  00 00 00 00
May 14 18:50:05 ubuntu64 pluto[25080]: | ***emit ISAKMP Security Association Payload:
May 14 18:50:05 ubuntu64 pluto[25080]: |    next payload type: ISAKMP_NEXT_VID
May 14 18:50:05 ubuntu64 pluto[25080]: |    DOI: ISAKMP_DOI_IPSEC
May 14 18:50:05 ubuntu64 pluto[25080]: | ****emit IPsec DOI SIT:
May 14 18:50:05 ubuntu64 pluto[25080]: |    IPsec DOI SIT: SIT_IDENTITY_ONLY
May 14 18:50:05 ubuntu64 pluto[25080]: | 5_000-1-5, 5_000-1-2, 
May 14 18:50:05 ubuntu64 pluto[25080]: | ****emit ISAKMP Proposal Payload:
May 14 18:50:05 ubuntu64 pluto[25080]: |    next payload type: ISAKMP_NEXT_NONE
May 14 18:50:05 ubuntu64 pluto[25080]: |    proposal number: 0
May 14 18:50:05 ubuntu64 pluto[25080]: |    protocol ID: PROTO_ISAKMP
May 14 18:50:05 ubuntu64 pluto[25080]: |    SPI size: 0
May 14 18:50:05 ubuntu64 pluto[25080]: |    number of transforms: 2
May 14 18:50:05 ubuntu64 pluto[25080]: | *****emit ISAKMP Transform Payload (ISAKMP):
May 14 18:50:05 ubuntu64 pluto[25080]: |    next payload type: ISAKMP_NEXT_T
May 14 18:50:05 ubuntu64 pluto[25080]: |    transform number: 0
May 14 18:50:05 ubuntu64 pluto[25080]: |    transform ID: KEY_IKE
May 14 18:50:05 ubuntu64 pluto[25080]: | ******emit ISAKMP Oakley attribute:
May 14 18:50:05 ubuntu64 pluto[25080]: |    af+type: OAKLEY_LIFE_TYPE
May 14 18:50:05 ubuntu64 pluto[25080]: |    length/value: 1
May 14 18:50:05 ubuntu64 pluto[25080]: |     [1 is OAKLEY_LIFE_SECONDS]
May 14 18:50:05 ubuntu64 pluto[25080]: | ******emit ISAKMP Oakley attribute:
May 14 18:50:05 ubuntu64 pluto[25080]: |    af+type: OAKLEY_LIFE_DURATION
May 14 18:50:05 ubuntu64 pluto[25080]: |    length/value: 28800
May 14 18:50:05 ubuntu64 pluto[25080]: | ******emit ISAKMP Oakley attribute:
May 14 18:50:05 ubuntu64 pluto[25080]: |    af+type: OAKLEY_ENCRYPTION_ALGORITHM
May 14 18:50:05 ubuntu64 pluto[25080]: |    length/value: 5
May 14 18:50:05 ubuntu64 pluto[25080]: |     [5 is OAKLEY_3DES_CBC]
May 14 18:50:05 ubuntu64 pluto[25080]: | ******emit ISAKMP Oakley attribute:
May 14 18:50:05 ubuntu64 pluto[25080]: |    af+type: OAKLEY_HASH_ALGORITHM
May 14 18:50:05 ubuntu64 pluto[25080]: |    length/value: 1
May 14 18:50:05 ubuntu64 pluto[25080]: |     [1 is OAKLEY_MD5]
May 14 18:50:05 ubuntu64 pluto[25080]: | ******emit ISAKMP Oakley attribute:
May 14 18:50:05 ubuntu64 pluto[25080]: |    af+type: OAKLEY_AUTHENTICATION_METHOD
May 14 18:50:05 ubuntu64 pluto[25080]: |    length/value: 1
May 14 18:50:05 ubuntu64 pluto[25080]: |     [1 is OAKLEY_PRESHARED_KEY]
May 14 18:50:05 ubuntu64 pluto[25080]: | ******emit ISAKMP Oakley attribute:
May 14 18:50:05 ubuntu64 pluto[25080]: |    af+type: OAKLEY_GROUP_DESCRIPTION
May 14 18:50:05 ubuntu64 pluto[25080]: |    length/value: 5
May 14 18:50:05 ubuntu64 pluto[25080]: |     [5 is OAKLEY_GROUP_MODP1536]
May 14 18:50:05 ubuntu64 pluto[25080]: | emitting length of ISAKMP Transform Payload (ISAKMP): 32
May 14 18:50:05 ubuntu64 pluto[25080]: | *****emit ISAKMP Transform Payload (ISAKMP):
May 14 18:50:05 ubuntu64 pluto[25080]: |    next payload type: ISAKMP_NEXT_NONE
May 14 18:50:05 ubuntu64 pluto[25080]: |    transform number: 1
May 14 18:50:05 ubuntu64 pluto[25080]: |    transform ID: KEY_IKE
May 14 18:50:05 ubuntu64 pluto[25080]: | ******emit ISAKMP Oakley attribute:
May 14 18:50:05 ubuntu64 pluto[25080]: |    af+type: OAKLEY_LIFE_TYPE
May 14 18:50:05 ubuntu64 pluto[25080]: |    length/value: 1
May 14 18:50:05 ubuntu64 pluto[25080]: |     [1 is OAKLEY_LIFE_SECONDS]
May 14 18:50:05 ubuntu64 pluto[25080]: | ******emit ISAKMP Oakley attribute:
May 14 18:50:05 ubuntu64 pluto[25080]: |    af+type: OAKLEY_LIFE_DURATION
May 14 18:50:05 ubuntu64 pluto[25080]: |    length/value: 28800
May 14 18:50:05 ubuntu64 pluto[25080]: | ******emit ISAKMP Oakley attribute:
May 14 18:50:05 ubuntu64 pluto[25080]: |    af+type: OAKLEY_ENCRYPTION_ALGORITHM
May 14 18:50:05 ubuntu64 pluto[25080]: |    length/value: 5
May 14 18:50:05 ubuntu64 pluto[25080]: |     [5 is OAKLEY_3DES_CBC]
May 14 18:50:05 ubuntu64 pluto[25080]: | ******emit ISAKMP Oakley attribute:
May 14 18:50:05 ubuntu64 pluto[25080]: |    af+type: OAKLEY_HASH_ALGORITHM
May 14 18:50:05 ubuntu64 pluto[25080]: |    length/value: 1
May 14 18:50:05 ubuntu64 pluto[25080]: |     [1 is OAKLEY_MD5]
May 14 18:50:05 ubuntu64 pluto[25080]: | ******emit ISAKMP Oakley attribute:
May 14 18:50:05 ubuntu64 pluto[25080]: |    af+type: OAKLEY_AUTHENTICATION_METHOD
May 14 18:50:05 ubuntu64 pluto[25080]: |    length/value: 1
May 14 18:50:05 ubuntu64 pluto[25080]: |     [1 is OAKLEY_PRESHARED_KEY]
May 14 18:50:05 ubuntu64 pluto[25080]: | ******emit ISAKMP Oakley attribute:
May 14 18:50:05 ubuntu64 pluto[25080]: |    af+type: OAKLEY_GROUP_DESCRIPTION
May 14 18:50:05 ubuntu64 pluto[25080]: |    length/value: 2
May 14 18:50:05 ubuntu64 pluto[25080]: |     [2 is OAKLEY_GROUP_MODP1024]
May 14 18:50:05 ubuntu64 pluto[25080]: | emitting length of ISAKMP Transform Payload (ISAKMP): 32
May 14 18:50:05 ubuntu64 pluto[25080]: | emitting length of ISAKMP Proposal Payload: 72
May 14 18:50:05 ubuntu64 pluto[25080]: | emitting length of ISAKMP Security Association Payload: 84
May 14 18:50:05 ubuntu64 pluto[25080]: | out_vendorid(): sending [strongSwan 4.1.9]
May 14 18:50:05 ubuntu64 pluto[25080]: | ***emit ISAKMP Vendor ID Payload:
May 14 18:50:05 ubuntu64 pluto[25080]: |    next payload type: ISAKMP_NEXT_VID
May 14 18:50:05 ubuntu64 pluto[25080]: | emitting 16 raw bytes of V_ID into ISAKMP Vendor ID Payload
May 14 18:50:05 ubuntu64 pluto[25080]: | V_ID  78 fd d2 87  de f0 1a 3f  07 4b 53 69  ea b4 fd 1c
May 14 18:50:05 ubuntu64 pluto[25080]: | emitting length of ISAKMP Vendor ID Payload: 20
May 14 18:50:05 ubuntu64 pluto[25080]: | out_vendorid(): sending [Cisco-Unity]
May 14 18:50:05 ubuntu64 pluto[25080]: | ***emit ISAKMP Vendor ID Payload:
May 14 18:50:05 ubuntu64 pluto[25080]: |    next payload type: ISAKMP_NEXT_VID
May 14 18:50:05 ubuntu64 pluto[25080]: | emitting 16 raw bytes of V_ID into ISAKMP Vendor ID Payload
May 14 18:50:05 ubuntu64 pluto[25080]: | V_ID  12 f5 f2 8c  45 71 68 a9  70 2d 9f e2  74 cc 01 00
May 14 18:50:05 ubuntu64 pluto[25080]: | emitting length of ISAKMP Vendor ID Payload: 20
May 14 18:50:05 ubuntu64 pluto[25080]: | out_vendorid(): sending [XAUTH]
May 14 18:50:05 ubuntu64 pluto[25080]: | ***emit ISAKMP Vendor ID Payload:
May 14 18:50:05 ubuntu64 pluto[25080]: |    next payload type: ISAKMP_NEXT_VID
May 14 18:50:05 ubuntu64 pluto[25080]: | emitting 8 raw bytes of V_ID into ISAKMP Vendor ID Payload
May 14 18:50:05 ubuntu64 pluto[25080]: | V_ID  09 00 26 89  df d6 b7 12
May 14 18:50:05 ubuntu64 pluto[25080]: | emitting length of ISAKMP Vendor ID Payload: 12
May 14 18:50:05 ubuntu64 pluto[25080]: | out_vendorid(): sending [Dead Peer Detection]
May 14 18:50:05 ubuntu64 pluto[25080]: | ***emit ISAKMP Vendor ID Payload:
May 14 18:50:05 ubuntu64 pluto[25080]: |    next payload type: ISAKMP_NEXT_NONE
May 14 18:50:05 ubuntu64 pluto[25080]: | emitting 16 raw bytes of V_ID into ISAKMP Vendor ID Payload
May 14 18:50:05 ubuntu64 pluto[25080]: | V_ID  af ca d7 13  68 a1 f1 c9  6b 86 96 fc  77 57 01 00
May 14 18:50:05 ubuntu64 pluto[25080]: | emitting length of ISAKMP Vendor ID Payload: 20
May 14 18:50:05 ubuntu64 pluto[25080]: | emitting length of ISAKMP Message: 184
May 14 18:50:05 ubuntu64 pluto[25080]: | sending 184 bytes for main_outI1 through wlan0:1 to xxx.xxx.xxx.xxx(geheimeipdesbintec):500:
May 14 18:50:05 ubuntu64 pluto[25080]: |   a4 bc 76 aa  4b 1d 0a 6a  00 00 00 00  00 00 00 00
May 14 18:50:05 ubuntu64 pluto[25080]: |   01 10 02 00  00 00 00 00  00 00 00 b8  0d 00 00 54
May 14 18:50:05 ubuntu64 pluto[25080]: |   00 00 00 01  00 00 00 01  00 00 00 48  00 01 00 02
May 14 18:50:05 ubuntu64 pluto[25080]: |   03 00 00 20  00 01 00 00  80 0b 00 01  80 0c 70 80
May 14 18:50:05 ubuntu64 pluto[25080]: |   80 01 00 05  80 02 00 01  80 03 00 01  80 04 00 05
May 14 18:50:05 ubuntu64 pluto[25080]: |   00 00 00 20  01 01 00 00  80 0b 00 01  80 0c 70 80
May 14 18:50:05 ubuntu64 pluto[25080]: |   80 01 00 05  80 02 00 01  80 03 00 01  80 04 00 02
May 14 18:50:05 ubuntu64 pluto[25080]: |   0d 00 00 14  78 fd d2 87  de f0 1a 3f  07 4b 53 69
May 14 18:50:05 ubuntu64 pluto[25080]: |   ea b4 fd 1c  0d 00 00 14  12 f5 f2 8c  45 71 68 a9
May 14 18:50:05 ubuntu64 pluto[25080]: |   70 2d 9f e2  74 cc 01 00  0d 00 00 0c  09 00 26 89
May 14 18:50:05 ubuntu64 pluto[25080]: |   df d6 b7 12  00 00 00 14  af ca d7 13  68 a1 f1 c9
May 14 18:50:05 ubuntu64 pluto[25080]: |   6b 86 96 fc  77 57 01 00
May 14 18:50:05 ubuntu64 pluto[25080]: | inserting event EVENT_RETRANSMIT, timeout in 10 seconds for #3
May 14 18:50:05 ubuntu64 pluto[25080]: | ICOOKIE:  3c 7b 52 11  b3 51 0a 32
May 14 18:50:05 ubuntu64 pluto[25080]: | RCOOKIE:  00 00 00 00  00 00 00 00
May 14 18:50:05 ubuntu64 pluto[25080]: | peer:  3e 9f 43 14
May 14 18:50:05 ubuntu64 pluto[25080]: | state hash entry 12
May 14 18:50:05 ubuntu64 pluto[25080]: | next event EVENT_RETRANSMIT in 10 seconds for #3
May 14 18:50:15 ubuntu64 pluto[25080]: | 
May 14 18:50:15 ubuntu64 pluto[25080]: | *time to handle event
May 14 18:50:15 ubuntu64 pluto[25080]: | event after this is EVENT_REINIT_SECRET in 3450 seconds
May 14 18:50:15 ubuntu64 pluto[25080]: | handling event EVENT_RETRANSMIT for xxx.xxx.xxx.xxx(geheimeipdesbintec) "bintec" #3
May 14 18:50:15 ubuntu64 pluto[25080]: | sending 184 bytes for EVENT_RETRANSMIT through wlan0:1 to xxx.xxx.xxx.xxx(geheimeipdesbintec):500:
May 14 18:50:15 ubuntu64 pluto[25080]: |   a4 bc 76 aa  4b 1d 0a 6a  00 00 00 00  00 00 00 00
May 14 18:50:15 ubuntu64 pluto[25080]: |   01 10 02 00  00 00 00 00  00 00 00 b8  0d 00 00 54
May 14 18:50:15 ubuntu64 pluto[25080]: |   00 00 00 01  00 00 00 01  00 00 00 48  00 01 00 02
May 14 18:50:15 ubuntu64 pluto[25080]: |   03 00 00 20  00 01 00 00  80 0b 00 01  80 0c 70 80
May 14 18:50:15 ubuntu64 pluto[25080]: |   80 01 00 05  80 02 00 01  80 03 00 01  80 04 00 05
May 14 18:50:15 ubuntu64 pluto[25080]: |   00 00 00 20  01 01 00 00  80 0b 00 01  80 0c 70 80
May 14 18:50:15 ubuntu64 pluto[25080]: |   80 01 00 05  80 02 00 01  80 03 00 01  80 04 00 02
May 14 18:50:15 ubuntu64 pluto[25080]: |   0d 00 00 14  78 fd d2 87  de f0 1a 3f  07 4b 53 69
May 14 18:50:15 ubuntu64 pluto[25080]: |   ea b4 fd 1c  0d 00 00 14  12 f5 f2 8c  45 71 68 a9
May 14 18:50:15 ubuntu64 pluto[25080]: |   70 2d 9f e2  74 cc 01 00  0d 00 00 0c  09 00 26 89
May 14 18:50:15 ubuntu64 pluto[25080]: |   df d6 b7 12  00 00 00 14  af ca d7 13  68 a1 f1 c9
May 14 18:50:15 ubuntu64 pluto[25080]: |   6b 86 96 fc  77 57 01 00
May 14 18:50:15 ubuntu64 pluto[25080]: | inserting event EVENT_RETRANSMIT, timeout in 20 seconds for #3
May 14 18:50:15 ubuntu64 pluto[25080]: | next event EVENT_RETRANSMIT in 20 seconds for #3
May 14 18:50:35 ubuntu64 pluto[25080]: | 
May 14 18:50:35 ubuntu64 pluto[25080]: | *time to handle event
May 14 18:50:35 ubuntu64 pluto[25080]: | event after this is EVENT_REINIT_SECRET in 3430 seconds
May 14 18:50:35 ubuntu64 pluto[25080]: | handling event EVENT_RETRANSMIT for xxx.xxx.xxx.xxx(geheimeipdesbintec) "bintec" #3
May 14 18:50:35 ubuntu64 pluto[25080]: | sending 184 bytes for EVENT_RETRANSMIT through wlan0:1 to xxx.xxx.xxx.xxx(geheimeipdesbintec):500:
May 14 18:50:35 ubuntu64 pluto[25080]: |   a4 bc 76 aa  4b 1d 0a 6a  00 00 00 00  00 00 00 00
May 14 18:50:35 ubuntu64 pluto[25080]: |   01 10 02 00  00 00 00 00  00 00 00 b8  0d 00 00 54
May 14 18:50:35 ubuntu64 pluto[25080]: |   00 00 00 01  00 00 00 01  00 00 00 48  00 01 00 02
May 14 18:50:35 ubuntu64 pluto[25080]: |   03 00 00 20  00 01 00 00  80 0b 00 01  80 0c 70 80
May 14 18:50:35 ubuntu64 pluto[25080]: |   80 01 00 05  80 02 00 01  80 03 00 01  80 04 00 05
May 14 18:50:35 ubuntu64 pluto[25080]: |   00 00 00 20  01 01 00 00  80 0b 00 01  80 0c 70 80
May 14 18:50:35 ubuntu64 pluto[25080]: |   80 01 00 05  80 02 00 01  80 03 00 01  80 04 00 02
May 14 18:50:35 ubuntu64 pluto[25080]: |   0d 00 00 14  78 fd d2 87  de f0 1a 3f  07 4b 53 69
May 14 18:50:35 ubuntu64 pluto[25080]: |   ea b4 fd 1c  0d 00 00 14  12 f5 f2 8c  45 71 68 a9
May 14 18:50:35 ubuntu64 pluto[25080]: |   70 2d 9f e2  74 cc 01 00  0d 00 00 0c  09 00 26 89
May 14 18:50:35 ubuntu64 pluto[25080]: |   df d6 b7 12  00 00 00 14  af ca d7 13  68 a1 f1 c9
May 14 18:50:35 ubuntu64 pluto[25080]: |   6b 86 96 fc  77 57 01 00
May 14 18:50:35 ubuntu64 pluto[25080]: | inserting event EVENT_RETRANSMIT, timeout in 40 seconds for #3
May 14 18:50:35 ubuntu64 pluto[25080]: | next event EVENT_RETRANSMIT in 40 seconds for #3
May 14 18:51:15 ubuntu64 pluto[25080]: | 
May 14 18:51:15 ubuntu64 pluto[25080]: | *time to handle event
May 14 18:51:15 ubuntu64 pluto[25080]: | event after this is EVENT_REINIT_SECRET in 3390 seconds
May 14 18:51:15 ubuntu64 pluto[25080]: | handling event EVENT_RETRANSMIT for xxx.xxx.xxx.xxx(geheimeipdesbintec) "bintec" #3
May 14 18:51:15 ubuntu64 pluto[25080]: "bintec" #3: max number of retransmissions (2) reached STATE_MAIN_I1.  No response (or no acceptable response) to our first IKE message
May 14 18:51:15 ubuntu64 pluto[25080]: | ICOOKIE:  a4 bc 76 aa  4b 1d 0a 6a
May 14 18:51:15 ubuntu64 pluto[25080]: | RCOOKIE:  00 00 00 00  00 00 00 00
May 14 18:51:15 ubuntu64 pluto[25080]: | peer:  3e 9f 43 14
May 14 18:51:15 ubuntu64 pluto[25080]: | state hash entry 22
May 14 18:51:15 ubuntu64 pluto[25080]: | next event EVENT_REINIT_SECRET in 3390 seconds


Ich bin echt für jede Hilfe Dankbar, wie gesagt geht es hier um Homeoffice :) Das ist Gold wert !!
Mein kleiner Sohn wird euch es Danken, das Papa öfters zuhause ist :)

Hoffe, das mir einer helfen kann und danke nochmal im voraus und grüsse,
Lightmans
 
OP
L

Lightmans

Newbie
Hallo,
ich glaube ich habe es geschafft?!?! :)
Ich weiss leider nicht wie es aussehen soll wenn es ok ist...Aber zumindest bekomme ich keine Fehlermeldung mehr.....



Code:
ay 14 21:18:55 ubuntu64 pluto[9199]: | *received whack message
May 14 21:18:55 ubuntu64 pluto[9199]: | from whack: got --esp=3des-md5-modp1024;modp1024
May 14 21:18:55 ubuntu64 pluto[9199]: | enum_search_prefix () calling enum_search(0x475ca0, "OAKLEY_GROUP_MODP1024")
May 14 21:18:55 ubuntu64 pluto[9199]: | esp string values: <NULL>
May 14 21:18:55 ubuntu64 pluto[9199]: esp string error: Non initial digit found for auth keylen, just after "3des-md5-" (old_state=ST_AA_END)
May 14 21:18:55 ubuntu64 pluto[9199]: | from whack: got --ike=3des-md5-modp1024
May 14 21:18:55 ubuntu64 pluto[9199]: | alg_info_parse_str() ealg_buf=3des aalg_buf=md5eklen=0  aklen=0
May 14 21:18:55 ubuntu64 pluto[9199]: | enum_search_prefix () calling enum_search(0x475c20, "OAKLEY_3DES")
May 14 21:18:55 ubuntu64 pluto[9199]: | enum_search_ppfixi () calling enum_search(0x475c20, "OAKLEY_3DES_CBC")
May 14 21:18:55 ubuntu64 pluto[9199]: | parser_alg_info_add() ealg_getbyname("3des")=5
May 14 21:18:55 ubuntu64 pluto[9199]: | enum_search_prefix () calling enum_search(0x475c40, "OAKLEY_MD5")
May 14 21:18:55 ubuntu64 pluto[9199]: | parser_alg_info_add() aalg_getbyname("md5")=1
May 14 21:18:55 ubuntu64 pluto[9199]: | enum_search_prefix () calling enum_search(0x475ca0, "OAKLEY_GROUP_MODP1024")
May 14 21:18:55 ubuntu64 pluto[9199]: | parser_alg_info_add() modp_getbyname("modp1024")=2
May 14 21:18:55 ubuntu64 pluto[9199]: | __alg_info_ike_add() ealg=5 aalg=1 modp_id=2, cnt=1
May 14 21:18:55 ubuntu64 pluto[9199]: | ike string values: 5_000-1-2, 
May 14 21:18:55 ubuntu64 pluto[9199]: bad right --id: does not look numeric and name lookup failed (ignored)
May 14 21:18:55 ubuntu64 pluto[9199]: | alg_info_addref() alg_info->ref_cnt=1
May 14 21:18:55 ubuntu64 pluto[9199]: added connection description "bintec"
May 14 21:18:55 ubuntu64 pluto[9199]: | 172.13.0.0/23===192.168.0.1---88.152.128.1...xxx.xxx.xxx.xxxbinterouterip[aw@domain.de]===172.13.2.111/32
May 14 21:18:55 ubuntu64 pluto[9199]: | ike_life: 28800s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 3; policy: PSK+ENCRYPT+TUNNEL+PFS+MOBIKE
May 14 21:18:55 ubuntu64 pluto[9199]: | next event EVENT_REINIT_SECRET in 3600 seconds

Leider kann ich den TS Server nicht pingen ... :(

Meine ipsec.conf sieht nun so aus:

Code:
conn bintec
    left=xxx.xxx.xxx.xxx ip des bintec router
    leftid="aw@secret.de"
    leftsubnet=172.13.2.111/32
    right=192.168.0.1
    rightid="geheim"
    rightsubnet=172.13.0.0/23
    rightnexthop=%defaultroute
    auto=add
    authby=psk
    pfs=yes
    ike=3des-md5-modp1024
    ikelifetime=28800s
    keylife=3600s
    pfsgroup=modp1024
    esp=3des-md5-modp1024
Kann es sein, dass der bintec das IKE in seiner Firewall verwirft?

Abosulut keine Ahnung :oops:
 

nbkr

Guru
Du schickst dem Bintec jetzt vermutlich Daten von der 192.168.0.1. Stell das mal auf die 172.13.2.111 um, wie der Admin das genannt hat. Also sowohl bei ifconfig, als auch in der ipsec.conf ändern.
 
Ob es geklappt hat kannst du mit `ip xfrm state` herausfinden, da sollte, bei entsprechender Verbindung, generell etwas stehen.
 
OP
L

Lightmans

Newbie
Hallo jungs, alles mist :( irgendwie klappt das alles nicht... :cry:

Code:
root@ubuntu64:~# ipsec up bintec
002 "bintec" #9: initiating Main Mode
104 "bintec" #9: STATE_MAIN_I1: initiate
010 "bintec" #9: STATE_MAIN_I1: retransmission; will wait 20s for response

root@ubuntu64:~# ipsec status
000 "bintec": 172.13.2.111/32===172.13.2.111...xxx.xxx.xxx.xxx[aw@blabla.de]===172.13.0.0/23; unrouted; eroute owner: #0
000 "bintec":   newest ISAKMP SA: #0; newest IPsec SA: #0;
000
000 #9: "bintec" STATE_MAIN_I1 (sent MI1, expecting MR1); EVENT_RETRANSMIT in 29s
000 #9: pending Phase 2 for "bintec" replacing #0
000
root@ubuntu64:~#


Code:
conn bintec
    left=xxx.xxx.xxx.xxx
    leftsubnet=172.13.0.0/23
    leftid=aw@blabla.de
    right=172.13.2.111
    rightsubnet=172.13.2.111/32
    rightid=blabla
    auto=start
    authby=secret
    pfs=yes
    ike=3des-md5-modp1024
    ikelifetime=28800s
    keylife=3600s
    pfsgroup=modp1024
    esp=3des-md5

habe auch inzwischen die virtuelle ip in den interfaces bei mir geändert in:

Code:
iface wlan0:1 inet static
address 172.13.2.111
netmask 255.255.255.255

Bin nun dabei mit dem Strongswan support team in kontakt zu tretten und evtl. auch mit Bintec.
Vielleicht haben die ja mehr infos dazu....

Wenn ihr neue Infos habt oder Ideen, einfach posten -> ich werde es direkt testen und auch die erfolgsmeldung bringen :)

Danke und gruss
Lightmans
 
Oben