Moin,
ich will damit etwas spielen. Szenario 2 Rechner im gleichen Netz. Sollte doch gehen, oder? Ziel soll sein, mit W2K Verbindung aufzubauen. (in dieser Richtung)
Was habe ich bisher getan: - Debian/Stable mit 2.4.18 und FreeSwan läuft, es sieht alles okay aus. - mit openssl habe ich Root-CA sowie Zertifikat für den IPSec-Rechner und für einen W2K-Rechner erstellt - W2K mit SP2 beglückt - mit der mmc das Zertifikat eingespielt - die ipsec-Tools installiert
Wie ist der Stand: - wenn ich unter w2k ein Ping auf den Debian mache, kommt sehr, sehr schnell "IP-Sicherheit wird verhandelt", aber kein Ping. Es geht auch viel zu schnell. - wenn ich unter Debian ping auf w2k mache, passiert nix.
Bei beiden Versuchen habe ich sowohl auf Debian als auch auf einem dritten Rechner im Netz tcpdump laufen lassen, nix, gar nix.
Ein Ping von W2K auf einen anderen Rechner im Netz klappt, ohne Meldung mit "Sicherheit verhandeln...". Soll ja auch so sein.
Ich vermute, er versucht schon irgendwie was zu machen, aber läßt seine Anfragen irgendwo versanden.
Frage/Bitte: hat jemand ein solchen Szenario und kann mir vielleicht einmal funktionierende ipsec.conf - Dateien (für beide Seiten) schicken?
Andreas
Andreas Kretschmer (andreas.kretschmer@schollglas.com) schrieb auf LUG-DD am Mit, 25 Jun, 2003; 14:39 +0200:
Guten Abend,
ich will damit etwas spielen. Szenario 2 Rechner im gleichen Netz. Sollte doch gehen, oder?
Was ist Netz? Die Collision Domain in einem Ethernet? Das selbe IP Subnetz? IMHO geht das nicht.
Woher weiß dann Dein Debian-Rechner wohin er das schicken soll? Tunnel oder direkt?
Gruß,
Frank
am 26.06.2003, um 0:05:02 +0200 mailte Frank Becker folgendes:
Andreas Kretschmer (andreas.kretschmer@schollglas.com) schrieb auf LUG-DD am Mit, 25 Jun, 2003; 14:39 +0200:
Guten Abend,
ich will damit etwas spielen. Szenario 2 Rechner im gleichen Netz. Sollte doch gehen, oder?
Was ist Netz? Die Collision Domain in einem Ethernet? Das selbe IP Subnetz? IMHO geht das nicht.
Ja, 192.168.1.0/24. Warum sollte es nicht gehen?
Woher weiß dann Dein Debian-Rechner wohin er das schicken soll? Tunnel oder direkt?
Ähm, direkt erst einmal. Aber die Windoze gibt bis jetzt nix von sich.
Die ipsec.conf der Windoze schaut so aus:
conn w2k-p2p left=%any right=192.168.1.9 rightca="C=DE,S=Deutschland,L=Heynitz,O=Schollglas Technik Sachsen GmbH,OU=EDV,CN=Andreas Kretschmer,E=andreas.kretschmer@schollglas.com" network=auto auto=start pfs=yes
Er selber hat 192.168.1.99 als IP.
Ich vermute, er findet das richtige Zertifikat nicht, aber ich weiß nicht so recht, wo ich suchen soll.
Andreas
Hi!
Am 2003-06-26 9:07 +0200 schrieb Andreas Kretschmer:
ich will damit etwas spielen. Szenario 2 Rechner im gleichen Netz. Sollte doch gehen, oder?
Was ist Netz? Die Collision Domain in einem Ethernet? Das selbe IP Subnetz? IMHO geht das nicht.
Ja, 192.168.1.0/24. Warum sollte es nicht gehen?
Bei uns im FSR laufen drei Rechner im gleichen Ethernet, alle kommunizieren über IPsec. Natürlich geht das (warum auch nicht?), IP ist über eine Punkt-zu-Punkt-Verbindung genau dasselbe wie über 30 hops einmal um die Erde rum (von den Latenzen mal abgesehen ;-) ).
Einer unserer Rechner hat vor kurzem neben Debian auch ein XP verpasst bekommen und der dafür zuständige Admin hat IPsec-Support auch noch nicht geschafft. Wenn es klappt, könntest Du bitte mal kurz beschreiben, wie Du es geschafft hast? Vielen Dank schon mal dafür!
Frohes Basteln und einen schönen Tag wünscht
Pitti
am Thu, dem 26.06.2003, um 9:25:50 +0200 mailte Martin Pitt folgendes:
nicht geschafft. Wenn es klappt, könntest Du bitte mal kurz beschreiben, wie Du es geschafft hast? Vielen Dank schon mal dafür!
Mache ich. Ich habe es nun erst einmal geschafft, es zwischen zwei Linux-Kisten einzurichten, allerdings 400km entfernt voneinander.
Man stolpert über banalste Dinge: ich habe stundenlang an ipsec0 auf ESP gewartet, dabei kam es längst via eth0... <duck und wegrenn>
Andreas
Martin Pitt (martin@piware.de) schrieb auf LUG-DD am Don, 26 Jun, 2003; 09:25 +0200:
Hi!
Am 2003-06-26 9:07 +0200 schrieb Andreas Kretschmer:
ich will damit etwas spielen. Szenario 2 Rechner im gleichen Netz. Sollte doch gehen, oder?
Was ist Netz? Die Collision Domain in einem Ethernet? Das selbe IP Subnetz? IMHO geht das nicht.
Ja, 192.168.1.0/24. Warum sollte es nicht gehen?
s.u.
Bei uns im FSR laufen drei Rechner im gleichen Ethernet, alle
Ich habe immer gedacht, der Kernel muß wissen, für welches IP-Netz er die Pakete durch den Tunnel schickt. Das macht er IMHO über das Routing. Wenn das nicht so ist, kannst Du mir mal bitte das Setup schicken. Wie verteilt Ihr die Schlüssel?
kommunizieren über IPsec. Natürlich geht das (warum auch nicht?), IP ist über eine Punkt-zu-Punkt-Verbindung genau dasselbe wie über 30 hops einmal um die Erde rum (von den Latenzen mal abgesehen ;-) ).
Ich glaube wir verstehen hier einander nicht richtig. Es ist ein Unterschied, ob Du über MAC-Adressen/Layer 2 oder über Router redest. Reden die drei Rechner untereinander über IPSec?
Einer unserer Rechner hat vor kurzem neben Debian auch ein XP verpasst
Kannst Du mir mal die /etc/ipsec.conf schicken oder hier posten? Wenn es ein IPSec Tunnel auf einen Rechner hinter einem Router ist, interessiert es mich nicht. ;)
Gruß,
Frank
Hallo Frank und Liste,
Am 2003-06-27 1:21 +0200 schrieb Frank Becker:
Bei uns im FSR laufen drei Rechner im gleichen Ethernet, alle
Ich habe immer gedacht, der Kernel muß wissen, für welches IP-Netz er die Pakete durch den Tunnel schickt. Das macht er IMHO über das Routing.
Richtig. Und die Routingtabelle sagt bei uns, dass Pakete an die anderen FSR-Rechner über ipsec0 gehen, und die Pakete an den Rest der Welt über eth0. Geht genau so, wie man auch normales Routing machen würde.
Wenn das nicht so ist
Doch.
Wie verteilt Ihr die Schlüssel?
Wir haben den X.509-Patch installiert, d. h., jeder Rechner generierte sich ein RSA-Schlüsselpaar und die öffentlichen Schlüssel haben wir dann auf allen anderen Rechnern installiert. Dies skaliert natürlich nicht besonders gut, aber bei drei, vier Rechnern ist es die einfachste Lösung.
kommunizieren über IPsec. Natürlich geht das (warum auch nicht?), IP ist über eine Punkt-zu-Punkt-Verbindung genau dasselbe wie über 30 hops einmal um die Erde rum (von den Latenzen mal abgesehen ;-) ).
Ich glaube wir verstehen hier einander nicht richtig. Es ist ein Unterschied, ob Du über MAC-Adressen/Layer 2 oder über Router redest. Reden die drei Rechner untereinander über IPSec?
Natürlich ist es ein Unterschied, ob man über MAC- oder IP-Adressen redet. Ich wollte darauf hinaus, dass auf der IP-Ebene es völlig transparent ist, wo der andere Rechner steht und wie die Netztopologie ist. Deshalb interessiert es auch IPsec nicht, ob der Rechner im gleichen Subnetz ist oder nicht. Das interessiert nur das Routing an sich (was aber kein Dienst der IP-Schicht ist, sondern diese implementiert).
Einer unserer Rechner hat vor kurzem neben Debian auch ein XP verpasst
Kannst Du mir mal die /etc/ipsec.conf schicken oder hier posten?
Gern, ist aber nichts spektakuläres (noch frees/wan 1.99-Syntax):
------------------- snip -------------------- # /etc/ipsec.conf
config setup interfaces=%defaultroute klipsdebug=none plutodebug=none plutoload=%search plutostart=%search
conn %default keyingtries=0 authby=rsasig auto=start
conn tomate-zwiebel left=141.76.22.52 leftsubnet=141.76.22.52/32 leftcert=tomateCert.pem right=141.76.22.54 rightsubnet=141.76.22.54/32 rightcert=zwiebelCert.pem
conn tomate-paprika left=141.76.22.52 leftsubnet=141.76.22.52/32 leftcert=tomateCert.pem right=141.76.22.53 rightsubnet=141.76.22.53/32 rightcert=paprikaCert.pem ------------------- snip --------------------
Wenn es ein IPSec Tunnel auf einen Rechner hinter einem Router ist, interessiert es mich nicht. ;)
Nein, nur im lokalen Subnetz.
Schönen Tag noch!
Pitti
am 26.06.2003, um 9:25:50 +0200 mailte Martin Pitt folgendes:
Einer unserer Rechner hat vor kurzem neben Debian auch ein XP verpasst bekommen und der dafür zuständige Admin hat IPsec-Support auch noch nicht geschafft. Wenn es klappt, könntest Du bitte mal kurz beschreiben, wie Du es geschafft hast? Vielen Dank schon mal dafür!
Linux: conn road right=%any auto=add
W2K: conn w2k-p2p left=%any right=192.168.1.9 rightca="C=DE,S=Deutschland,L=Heynitz,O=Schollglas Technik Sachsen GmbH,OU=EDV,CN=Andreas Kretschmer,E=andreas.kretschmer@schollglas.com" network=auto auto=start pfs=yes
Das hat auf Linux-Seite den Vorteil, daß man nicht jeden W2K-Dödel extra deklarieren muß.
Tut nun erst einmal. Die W2K-Kisten scheinen sich nach X Minuten ohne Traffic von IPSec zu verabschieden, aber das habe ich noch nicht so genau untersucht. Auf alle Fälle kommt mein ping auf eth0 als ESP, wenn auf W2K-Seite die Verbindung aufgebaut wird.
Uff, das ist trockenes Brot, insbesondere die Fehlersuche unter Win.
Mein Problem erst war, daß der das Zertifikat nicht fand, weil die rightca flasch angegeben war.
Andreas
Hi!
Am 2003-06-26 9:07 +0200 schrieb Andreas Kretschmer:
conn w2k-p2p left=%any right=192.168.1.9 rightca="C=DE,S=Deutschland,L=Heynitz,O=Schollglas Technik Sachsen GmbH,OU=EDV,CN=Andreas Kretschmer,E=andreas.kretschmer@schollglas.com" network=auto auto=start pfs=yes
Ist dies die Methode ohne X.509? Da sehen die Zertifikate aber lustig aus... Wenn er die Zertifikate nicht findet, dann sollte es aber eine Meldung im syslog geben, selbst mit klipsdebug=none (wir benutzen X.509-Zertifikate und da kommen die Fehlermeldungen, wenn sie nicht gefunden werden). Hast Du da mal nachgeschaut?
Was mir irgendwie komisch vorkommt: diese Konfiguration gibt nur ein Zertifikat auf einer Seite an, d.h., es kann nur authentisiert _oder_ verschlüsselt werden (je nach Richtung). Ist das richtig so? Oder sind das symmetrische Schlüssel?
Ciao, Pitti
am 27.06.2003, um 10:52:35 +0200 mailte Martin Pitt folgendes:
Was mir irgendwie komisch vorkommt: diese Konfiguration gibt nur ein Zertifikat auf einer Seite an, d.h., es kann nur authentisiert _oder_
Nein. Da steht auch noch weiter oben: conn %default keyingtries=1 disablearrivalcheck=no authby=rsasig rightrsasigkey=%cert auto=add left=%defaultroute leftcert=gatewayCert.pem
Damit ist das eigene (left) definiert, und dann definiere ich für die einzelnen Verbindungen den erlaubten DN des Partners. Wenn ich es richtig verstanden habe...
Andreas
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Andreas Kretschmer -
Frank Becker -
Martin Pitt