• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

VPN-Verbindung (Racoon) zu Bintec VPN Access 25

C

creetz

Newbie
hallo, ich habe Suse 10.1 laufen und versuche mittels Racoon eine VPN-Verbindung zu einem Bintec VPN Access 25 herzustellen. Das scheint auch zu funktionieren, aber leider kommen keine Pakete durch den Tunnel durch. Weder "Ping" noch "telnet" funktioniert. Pinge ich allerdings vom Bintec die lokale IP des Linuxsystems an bekome ich eine Antwort. (Das Linuxsystem wird hinter einem Router betrieben)

Anbei meine Konfigs .. vllt. hat ja einer eine Idee die mir weiterhilft.

racoon.conf

Code: 
path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "@sysconfdir_x@/cert";

   1. "padding" defines some padding parameters. You should not touch these.

padding
{

maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}

   1. if no listen directive is specified, racoon will listen on all
   2. available interface addresses.

listen
{


isakmp 192.168.1.22 [500];
isakmp 192.168.1.22 [4500];
#isakmp ::1 [7000];
#isakmp 202.249.11.124 [500];
#admin [7002]; # administrative port for racoonctl.
#strict_address; # requires that all addresses must be bound.
}

   1. Specify various default timers.

timer
{

# These value can be changed per remote node.
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # the number of packets per send.

# maximum time to wait for completing each phase.
phase1 30 sec;
phase2 15 sec;
}
remote anonymous
{

exchange_mode aggressive;
verify_identifier on;
my_identifier user_fqdn "remote@bintec.de";
peers_identifier user_fqdn "zentrale@bintec.de";
doi ipsec_doi;
situation identity_only;

# my_identifier asn1dn;
#certificate_type x509 "my.cert.pem" "my.key.pem";

nonce_size 16;
initial_contact on;
proposal_check obey; # obey, strict, or claim

proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous
{

pfs_group 2;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
sainfo subnet 192.168.1.0/24 any subnet 10.22.0.0/24 any
{ pfs_group 2;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}

setkey.conf

Code: 
   1. This is a sample setkey.conf

   1. First of all flush the SPD database

spdflush;

   1. Add some SPD rules
   2. Very likely you'll want to replace these rules with your own ones

spdadd 127.0.0.0/8 127.0.0.0/8 any -P out none;
spdadd 127.0.0.0/8 127.0.0.0/8 any -P in none;

spdadd 192.168.1.0/24 10.22.0.0/24 any -P out ipsec
esp/tunnel/192.168.1.22-85.116.x.x/unique;

spdadd 10.22.0.0/24 192.168.1.0/24 any -P out ipsec
esp/tunnel/85.116.x.x-192.168.1.22/unique;

Weiterhin habe ich in der racoon (unter init.d) einen Eintrag gemacht, welcher mir eine Route zum Zielnetz über Eth0 erstellt.

Jmd ne Idee wo der Fehler liegen könnte ?

Gruß aus Mainz,
Nico
 
OP
C

creetz

Newbie
Ich hab die Konfigs gemäß dem Tutorial hier angepasst:

http://www.linux-club.de/ftopic28267.html

Leider immer noch gleiches Ergebniss. Das ich vom Bintec zum Linux pingen konnte war auch nicht das Ergebniss des Tunnels sondern ein Fehler in der Routingtabelle.
 
OP
C

creetz

Newbie
creetz schrieb:
hallo, ich habe Suse 10.1 laufen und versuche mittels Racoon eine VPN-Verbindung zu einem Bintec VPN Access 25 herzustellen. Das scheint auch zu funktionieren, aber leider kommen keine Pakete durch den Tunnel durch. Weder "Ping" noch "telnet" funktioniert. Pinge ich allerdings vom Bintec die lokale IP des Linuxsystems an bekome ich eine Antwort. (Das Linuxsystem wird hinter einem Router betrieben)

Anbei meine Konfigs .. vllt. hat ja einer eine Idee die mir weiterhilft.

racoon.conf

Code: 
path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "@sysconfdir_x@/cert";

   1. "padding" defines some padding parameters. You should not touch these.

padding
{

maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}

   1. if no listen directive is specified, racoon will listen on all
   2. available interface addresses.

listen
{


isakmp 192.168.1.22 [500];
isakmp 192.168.1.22 [4500];
#isakmp ::1 [7000];
#isakmp 202.249.11.124 [500];
#admin [7002]; # administrative port for racoonctl.
#strict_address; # requires that all addresses must be bound.
}

   1. Specify various default timers.

timer
{

# These value can be changed per remote node.
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # the number of packets per send.

# maximum time to wait for completing each phase.
phase1 30 sec;
phase2 15 sec;
}
remote anonymous
{

exchange_mode aggressive;
verify_identifier on;
my_identifier user_fqdn "remote@bintec.de";
peers_identifier user_fqdn "zentrale@bintec.de";
doi ipsec_doi;
situation identity_only;

# my_identifier asn1dn;
#certificate_type x509 "my.cert.pem" "my.key.pem";

nonce_size 16;
initial_contact on;
proposal_check obey; # obey, strict, or claim

proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous
{

pfs_group 2;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
sainfo subnet 192.168.1.0/24 any subnet 10.22.0.0/24 any
{ pfs_group 2;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}

setkey.conf

Code: 
   1. This is a sample setkey.conf

   1. First of all flush the SPD database

spdflush;

   1. Add some SPD rules
   2. Very likely you'll want to replace these rules with your own ones

spdadd 127.0.0.0/8 127.0.0.0/8 any -P out none;
spdadd 127.0.0.0/8 127.0.0.0/8 any -P in none;

spdadd 192.168.1.0/24 10.22.0.0/24 any -P out ipsec
esp/tunnel/192.168.1.22-85.116.x.x/unique;

spdadd 10.22.0.0/24 192.168.1.0/24 any -P out ipsec
esp/tunnel/85.116.x.x-192.168.1.22/unique;

Weiterhin habe ich in der racoon (unter init.d) einen Eintrag gemacht, welcher mir eine Route zum Zielnetz über Eth0 erstellt.

Jmd ne Idee wo der Fehler liegen könnte ?

Gruß aus Mainz,
Nico
Zum Vergrößern anklicken....

Hi nochmal. Das Problem, dass sich der Tunnel ordnungsgemäß aufgebaut hat, aber keine Pakete durch den Tunnel gingen liegt darin begründet, dass NAT T nicht funktioniert. Sobald ich alle ESP-Pakete auf das Suse Notebook umleite (am zentralen NAT-Router) dann funktioniert die Verbindung. ESP hat ja Probleme mit NAT weil es keine Ports besitzt. Nun kann ich aber nicht überall erstmal den DSL-Router umprogrammieren dass die DSL-Verbindung funktioniert. Kennt jmd. nen Trick wie ich Racoon wirklich dazu bringen kann NAT T zu benutzen ?

isakmp 192.168.1.22 [4500];
nat Traversal on;

hat nichts gebracht.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben