Hallo !
ich hab ein hartnäckiges racoon-Problem:
Ich versuche mit einem Linux-Client einen VPN-Tunnel zu unserem VPN-Router in der Firma (Netgear FVS338) auf zu bauen, doch das schlägt mit der Meldung "sendfromto failed" und "failed to begin ipsec sa negotication" fehl.
Ich habe einen Windows-XP Rechner mit dem Netgear-VPN-Client installiert, von dem aus die Verbindung ohne Probleme klappt.
Aus verschiedenen Gründen kann ich aber als Client kein Windows gebrauchen und veruche nun, ob die Verbindung auch mit linux klappt.
So soll die Verbindung aussehen:
So hab ich Racoon eingerichtet:
/etc/racoon/racoon.conf
Ich hab auch die Optionen
ausprobiert - keine Änderung.
meine psk.txt:
meine setkey.conf:
die Ausgabe von racoon:
Wobei der Part ab "IPsec-SA request for 123.123.123.123 queued ..." erst erschint,
sobald ich versuche die Adresse 192.168.5.100 zu Pingen:
die "Virtuelle IP" habe ich mit
hinzu gefügt. (Ich hoffe das ist die richtige Vorgehensweise)
Das device eth0:1 wird von ifconfig auch normal engezeigt und ist von außen pingbar.
Um das 192.168.5.0/24-Netz anzusprechen:
So .... jetzt hoffe ich nur noch dass sich einer von Euch gut genug damit auskennt um mir einen Hinweis zu geben kann wie ich weiter machen könnte. Ich weiß nämlich echt mittlerweile nicht mehr weiter.
Das Buch "VPN mit Linux" hab ich gekauft, aber es kann mir in diesem speziellen Fall leider auch nicht helfen. (Oder ich hab den Part überlesen, das kann natürlich auch sein)
Any suggestions?
ich hab ein hartnäckiges racoon-Problem:
Ich versuche mit einem Linux-Client einen VPN-Tunnel zu unserem VPN-Router in der Firma (Netgear FVS338) auf zu bauen, doch das schlägt mit der Meldung "sendfromto failed" und "failed to begin ipsec sa negotication" fehl.
Ich habe einen Windows-XP Rechner mit dem Netgear-VPN-Client installiert, von dem aus die Verbindung ohne Probleme klappt.
Aus verschiedenen Gründen kann ich aber als Client kein Windows gebrauchen und veruche nun, ob die Verbindung auch mit linux klappt.
So soll die Verbindung aussehen:
Code:
Clientrechner-----Mein Router----Internet--------VPN-Router Firma-----------Zielrechner
IP-Lokal: DHCP 123.123.123.123 102.168.5.100
IP-Virtuell für VPN:
192.168.10.11So hab ich Racoon eingerichtet:
/etc/racoon/racoon.conf
Code:
path pre_shared_key "/etc/racoon/psk.txt";
remote 123.123.123.123 {
exchange_mode aggressive;
my_identifier user_fqdn "name@domain.de";
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo address 192.168.10.11
any address 192.168.5.0/24 any {
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
pfs_group 2;
compression_algorithm deflate;
}Ich hab auch die Optionen
Code:
generate_policy on;
support_proxy on;
proposal_check obey;meine psk.txt:
Code:
123.123.123.123 meinpsk
name@domain.de meinpskmeine setkey.conf:
Code:
#!/usr/sbin/setkey -f
flush;
spdflush;
spdadd 192.168.10.11 192.168.5.0/24 any -P out ipsec esp/tunnel/192.168.10.11-123.123.123.123/require;
spdadd 192.168.5.0/24 192.168.10.11 any -P in ipsec esp/tunnel/123.123.123.123-192.168.10.11/require;die Ausgabe von racoon:
Code:
oib:/etc/racoon # setkey -f /etc/racoon/setkey.conf
oib:/etc/racoon # racoon -F
Foreground mode.
2007-05-17 14:18:29: INFO: @(#)ipsec-tools 0.6.5 (http://ipsec-tools.sourceforge.net)
2007-05-17 14:18:29: INFO: @(#)This product linked OpenSSL 0.9.8a 11 Oct 2005 (http://www.openssl.org/)
2007-05-17 14:18:29: INFO: 127.0.0.1[500] used as isakmp port (fd=6)
2007-05-17 14:18:29: INFO: 127.0.0.1[500] used for NAT-T
2007-05-17 14:18:29: INFO: 192.168.62.141[500] used as isakmp port (fd=7)
2007-05-17 14:18:29: INFO: 192.168.62.141[500] used for NAT-T
2007-05-17 14:18:29: INFO: ::1[500] used as isakmp port (fd=8)
2007-05-17 14:18:29: INFO: fe80::240:63ff:fee5:14c4%eth0[500] used as isakmp port (fd=9)
2007-05-17 14:23:49: INFO: 127.0.0.1[500] used as isakmp port (fd=6)
2007-05-17 14:23:49: INFO: 127.0.0.1[500] used for NAT-T
2007-05-17 14:23:49: INFO: 192.168.62.141[500] used as isakmp port (fd=7)
2007-05-17 14:23:49: INFO: 192.168.62.141[500] used for NAT-T
2007-05-17 14:23:49: INFO: 192.168.10.11[500] used as isakmp port (fd=8)
2007-05-17 14:23:49: INFO: 192.168.10.11[500] used for NAT-T
2007-05-17 14:23:49: INFO: ::1[500] used as isakmp port (fd=9)
2007-05-17 14:23:49: INFO: fe80::240:63ff:fee5:14c4%eth0[500] used as isakmp port (fd=10)
2007-05-17 14:24:54: INFO: IPsec-SA request for 123.123.123.123 queued due to no phase1 found.
2007-05-17 14:24:54: INFO: initiate new phase 1 negotiation: 192.168.10.11[500]<=>123.123.123.123[500]
2007-05-17 14:24:54: INFO: begin Aggressive mode.
2007-05-17 14:24:54: ERROR: sendfromto failed
2007-05-17 14:24:54: ERROR: failed to begin ipsec sa negotication.Wobei der Part ab "IPsec-SA request for 123.123.123.123 queued ..." erst erschint,
sobald ich versuche die Adresse 192.168.5.100 zu Pingen:
Code:
oib:/etc/racoon # ping 192.168.5.100
connect: Resource temporarily unavailabledie "Virtuelle IP" habe ich mit
Code:
ifconfig eth0:1 192.168.10.11 upDas device eth0:1 wird von ifconfig auch normal engezeigt und ist von außen pingbar.
Um das 192.168.5.0/24-Netz anzusprechen:
Code:
route add -net 192.168.5.0 netmask 255.255.255.0 eth0:1So .... jetzt hoffe ich nur noch dass sich einer von Euch gut genug damit auskennt um mir einen Hinweis zu geben kann wie ich weiter machen könnte. Ich weiß nämlich echt mittlerweile nicht mehr weiter.
Das Buch "VPN mit Linux" hab ich gekauft, aber es kann mir in diesem speziellen Fall leider auch nicht helfen. (Oder ich hab den Part überlesen, das kann natürlich auch sein)
Any suggestions?