---

Hej NG,

Jeg har været i gang med at opsætte en FreeS/WAN server, på en RedHat
maskine.
Nu har jeg bare lidt problemer med min ipsec.conf fil, efter som jeg
bruger FreeS/wan 2.

Problemet er at FreeS/WAN 2 conffil struktur, ikke er kompatibel med
FreeS/WAN 1.x, og da de ikke har gjort meget ud af at dokumentere den
nye conffil struktur, sidder jeg nu lidt fast.

Så hvis nogen ligger inde med en god forklaring, på hvordan man kan
sætte en net to net forbindelse op, vil det blive modtaget med stor
taknemlighed.

Med Venlig Hilsen
Daniel Bielefeldt

e-mail : daniel at bielefeldt dot org

---

Daniel Bielefeldt <daniel-removethis-@bielefeldt.org> writes:

> Så hvis nogen ligger inde med en god forklaring, på hvordan man kan
> sætte en net to net forbindelse op, vil det blive modtaget med stor
> taknemlighed.

Det skal du nok ikke forvente et godt svar på.

Prøv i stedet at fortælle hvad du har prøvet, hvad der skete, hvad du
forventede der skulle ske, og hvad der endte med at stå i din
logfiler. Så har du helt sikkert en meget større chance for et
brugbart svar.

--
Jacob - www.bunk.cc
It's later than you think.

---

Hej Jacob,

Jacob Bunk Nielsen skrev:
> Prøv i stedet at fortælle hvad du har prøvet, hvad der skete, hvad du
> forventede der skulle ske, og hvad der endte med at stå i din
> logfiler. Så har du helt sikkert en meget større chance for et
> brugbart svar.
Det vil jeg også gerne skrive, hvis bare jeg kom så langt.

Problemet er at jeg ikke rigtig kan få sammensat en conf fil til
FreeS/WAN, da jeg ikke kan finde de options der findes til ver. 2

Ud fra hvad de beskriver på deres website ( under ver. 2 ), skal man
bare skrive følgende i sin conf fil.

conn net-to-net
left=192.0.2.2 # Local vitals
leftsubnet=192.0.2.128/29 #
leftid=@xy.example.com #
leftrsasigkey=0s1LgR7/oUM... #
leftnexthop=%defaultroute # correct in many situations
right=192.0.2.9 # Remote vitals
rightsubnet=10.0.0.0/24 #
rightid=@ab.example.com #
rightrsasigkey=0sAQOqH55O... #
rightnexthop=%defaultroute # correct in many situations
auto=add # authorizes but doesn't start this
# connection at startup

Der er bare det, at det ikke passer til ver. 2 og FreeS/WAN fejler
derfor når man prøver at starte den.

Beklager, men jeg mener ikke at det kan beskrives mere tydligt.

Med Venlig Hilsen
Daniel Bielefeldt

e-mail : daniel at bielefeldt dot org

---

On Tue, 10 Jun 2003 18:32:06 +0200, Daniel Bielefeldt wrote:

> Der er bare det, at det ikke passer til ver. 2 og FreeS/WAN fejler
> derfor når man prøver at starte den.

> Beklager, men jeg mener ikke at det kan beskrives mere tydligt.

Du kunne jo f.ex. skrive den præcise fejlmeddelelse...


Mvh.

--
"Äter ni middag?" Adam Sjøgren
asjo@koldfront.dk

---

Daniel Bielefeldt <daniel-removethis-@bielefeldt.org> writes:

> Ud fra hvad de beskriver på deres website ( under ver. 2 ), skal man
> bare skrive følgende i sin conf fil.

Det ligner noget jeg kan genkende fra version 1.9x, som er det seneste
jeg har arbejdet med.

> Der er bare det, at det ikke passer til ver. 2 og FreeS/WAN fejler
> derfor når man prøver at starte den.

Hvad siger den af fejlbeskeder?

--
Jacob - www.bunk.cc
Biggest security gap -- an open mouth.

---

Jacob Bunk Nielsen skrev:
> Hvad siger den af fejlbeskeder?

Den kommer med denne fejl.

[root@firewall etc]# ipsec auto --add net-to-net
ipsec_auto: fatal error in "net-to-net": (/etc/ipsec.conf, line 10)
section header "leftrsas.............." has wrong number of fields (1)

Indholdet af min conf fil.

----------------------------------------------------------------------------
version 2
config setup
interfaces="ipsec0=eth0"

conn net-to-net
left= Wan ip # Local vitals
leftsubnet=192.168.4.0/24 #
leftid=@ mit dnsnavn #

leftrsasigkey= Min key

leftnexthop=192.168.4.1 # correct in many situations
right= Wan IP # Remote vitals
rightsubnet=192.168.1.0/24 #
rightid=@ andet dnsnavn #

rightrsasigkey= Den anden key
auto=add # authorizes but doesn't start this
----------------------------------------------------------------------------

Med Venlig Hilsen
Daniel Bielefeldt.

---

Daniel Bielefeldt <daniel-removethis-@bielefeldt.org> writes:

> ipsec_auto: fatal error in "net-to-net": (/etc/ipsec.conf, line 10)
> section header "leftrsas.............." has wrong number of fields (1)

Så vidt jeg kan se i dokumentationen skal den bare have et felt.

Dengang jeg legede med det havde jeg nøglerne liggende i DNS, så jeg
prøvede aldrig at putte dem i ipsec.conf. Men jeg havde også kun et
felt i DNS.

Du er vel ikke kommet til at ombryde linjerne med dine nøgler? Sådan
nogle kan jo være halvlange.

--
Jacob - www.bunk.cc
When you don't know what you are doing, do it neatly.

---

Jacob Bunk Nielsen skrev:
> Du er vel ikke kommet til at ombryde linjerne med dine nøgler? Sådan
> nogle kan jo være halvlange.
Det har jeg set efter. De er som de skal være.

Med Venlig Hilsen
Daniel Bielefeldt

---

Jacob Bunk Nielsen skrev:
> Du er vel ikke kommet til at ombryde linjerne med dine nøgler? Sådan
> nogle kan jo være halvlange.
Du havde ret.
Der var et mellemrum for meget mellem linjerne.

Beklager

Nu kommer den desværre bare med en anden fejl

[root@firewall etc]# ipsec auto --up net-to-net
022 "net-to-net": we have no ipsecN interface for either end of this
connection

Med Venlig Hilsen
Daniel Bielefeldt.

---

Daniel Bielefeldt <daniel-removethis-@bielefeldt.org> writes:

> [root@firewall etc]# ipsec auto --up net-to-net
> 022 "net-to-net": we have no ipsecN interface for either end of this
> connection

Har du husket at loade ipsec-kernemodulet? Den skulle gerne oprette et
ipsec0-interface.

--
Jacob - www.bunk.cc
Program load too heavy for processor to lift.

---

Jeg har nu fået hul igennem.
Desværre kan det ikke lade sig gøre, at pinge ip'er på den anden side.
Skal man lave noget masquerade eller måske nogle ekstra route tabeller ?

På forhånd mange tak

Med Venlig Hilsen
Daniel Bielefeldt.

---

Daniel Bielefeldt <daniel-removethis-@bielefeldt.org> writes:

> Jeg har nu fået hul igennem.

Fjong. Det skulle du vist kunne se med 'ipsec whack status' så vidt
jeg lige husker.

> Desværre kan det ikke lade sig gøre, at pinge ip'er på den anden side.
> Skal man lave noget masquerade eller måske nogle ekstra route tabeller ?

Den burde selv tilføje en route til det andet subnet. Hvad siger
'route -n'?

Hvad sker der når du prøver at pinge? Kører du nogen form for firewall
der spiser dine ICMP-pakker?

Hvad siger ngrep eller lignende at der sker med dine pakker?

Hvad siger ping når du forsøger? Får du nogle fejlbeskeder?

--
Jacob - www.bunk.cc
War doesn't prove who's right, just who's left.

---

Jacob Bunk Nielsen skrev:
> Den burde selv tilføje en route til det andet subnet. Hvad siger
> 'route -n'?
Det gør den også.

Destination Gateway Genmask Flags Metric Ref Use
Iface
80.62.250.16 0.0.0.0 255.255.255.252 U 0 0 0 eth0
80.62.250.16 0.0.0.0 255.255.255.252 U 0 0 0
ipsec0
80.161.216.104 0.0.0.0 255.255.255.248 U 0 0 0 eth1
192.168.4.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.1.0 80.62.250.17 255.255.255.0 UG 0 0 0
ipsec0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 80.62.250.17 0.0.0.0 UG 0 0 0 eth0


> Hvad sker der når du prøver at pinge? Kører du nogen form for firewall
> der spiser dine ICMP-pakker?
Under normale omstændigheder køre jeg firewall, som lukker for ICMP, men
i dette tilfælde har jeg slået det fra.

> Hvad siger ngrep eller lignende at der sker med dine pakker?
Ikke så meget.
Der kommer ikke rigtig nogen pakker igennem ipsec0 interfacet.

> Hvad siger ping når du forsøger? Får du nogle fejlbeskeder?
Nej, den "hænger" bare.

Jeg vil lige tilføje at vi har prøvet at sætte FreeS/wan op, så den køre
vpn mellem wan ipadresserne, hvorefter vi fint kunne pinge wan siderne
igennem ipsec0 interfacet.

Desværre lykkedes det bare ikke når vi bruger 192.168.x.x.

Lige nu ser min conf fil sådan ud.

version 2
config setup
interfaces="ipsec0=eth0"

conn net-to-net
left=80.62.250.18 # Local vitals
leftsubnet=192.168.4.0/24 #
leftid=@ FQDN #
leftrsasigkey= KEY
leftnexthop=80.62.250.17 # correct in many situations
right=80.197.188.219 # Remote vitals
rightsubnet=192.168.1.0/24 #
rightid=@ FQDN        #
rightrsasigkey= KEY
rightnexthop=80.197.188.209 # correct in many situations
auto=add # authorizes but doesn't start this
authby=rsasig

Med Venlig Hilsen
Daniel Bielefeldt.

---

Daniel Bielefeldt <daniel-removethis-@bielefeldt.org> writes:
> Jacob Bunk Nielsen skrev:
>
>> Hvad sker der når du prøver at pinge? Kører du nogen form for firewall
>> der spiser dine ICMP-pakker?
> Under normale omstændigheder køre jeg firewall, som lukker for ICMP,
> men i dette tilfælde har jeg slået det fra.

Du er helt sikker på at firewallen er slået fra?

Har du husket at slå IP-forwarding til på begge maskiner?

Hvordan er det nu? ipsec0-interfacet får en IP-adresse. Kan du pinge
den lokalt? Kan du pinge den i den anden ende at tunellen?

>> Hvad siger ngrep eller lignende at der sker med dine pakker?
> Ikke så meget.
> Der kommer ikke rigtig nogen pakker igennem ipsec0 interfacet.

Der er altså når vi snakker fra 192.168.4.0/24 -> 192.168.1.0/24 eller
omvendt? Det lyder som om du har glemt IP-forwarding, eller glemt at
tillade det på din FORWARD-kæde i iptables.

> Jeg vil lige tilføje at vi har prøvet at sætte FreeS/wan op, så den
> køre vpn mellem wan ipadresserne, hvorefter vi fint kunne pinge wan
> siderne igennem ipsec0 interfacet.

Tyder stadig på at det er Jeres forwarding der ikke kører.

--
Jacob - www.bunk.cc
Wasting time is an important part of living.

---

Jacob Bunk Nielsen skrev:
> Du er helt sikker på at firewallen er slået fra?
Ja, helt sikker.

> Har du husket at slå IP-forwarding til på begge maskiner?
Også det ja.
Skal lige gøre opmærksom på at jeg køre en masquerade mellem mit eth0
til 192.168.4.0/24, så jeg kan komme på nettet.

> Hvordan er det nu? ipsec0-interfacet får en IP-adresse. Kan du pinge
> den lokalt? Kan du pinge den i den anden ende at tunellen?
Ja, ipsec0 får min wan ipadresse 80.62.250.18
Jeg kan godt pinge den, men den går ikke igennem ipsec0 interfacet.

> Der er altså når vi snakker fra 192.168.4.0/24 -> 192.168.1.0/24 eller
> omvendt? Det lyder som om du har glemt IP-forwarding, eller glemt at
> tillade det på din FORWARD-kæde i iptables.

Ja, vi snakker begge veje.
192.168.4.0/24 -> 192.168.1.0/24
192.168.1.0/24 -> 192.168.4.0/24

Mens vi tester har jeg sat defaut Policy til INPUT = ACCEPT, OUTPUT =
ACCEPT og FORWARD = ACCEPT, så der burde efter min overbevisning være
hul igennem.

> Tyder stadig på at det er Jeres forwarding der ikke kører.
Den er ellers sat til echo 1>/proc/sys/net/ipv4/ip_forward

Det der undre mig, er bare at ipsec0 får wan ip adressen.
Er det korrekt ?

Med Venlig Hilsen
Daniel Bielefeldt.

---

Daniel Bielefeldt <daniel-removethis-@bielefeldt.org> writes:
> Jacob Bunk Nielsen skrev:
>> Har du husket at slå IP-forwarding til på begge maskiner?
> Også det ja.

Godt, så ville jeg nok vælge at blive lidt kreativ med fx ngrep for at
se hvor pakkerne kom til, og hvad de havde af adresser påhæftet.

> Skal lige gøre opmærksom på at jeg køre en masquerade mellem mit eth0
> til 192.168.4.0/24, så jeg kan komme på nettet.

Pas på at det ikke laver ballade med din FreeS/WAN-ting.

> Ja, ipsec0 får min wan ipadresse 80.62.250.18
> Jeg kan godt pinge den, men den går ikke igennem ipsec0 interfacet.

Hmmm ... OK. Det er over et år siden jeg sidst arbejdede med
FreeS/WAN, så jeg må indrømme at jeg ikke lige kan huske præcis
hvordan det skal være skruet sammen.

Du burde kunne se det med en af de der status-kommandoer, som
fortæller hvordan dine tunneller ser ud.

--
Jacob - www.bunk.cc
War doesn't prove who's right, just who's left.

---

Jeg takker mange gange for jeres hjelp.
Desværre var fejlen et andet sted.

Problemet var min opsætning i ipsec.conf.
Fandt ud af, at man skal bruge to forbindelser for at skabe kontakt den
ene og den anden vej.

Men endnu en gang tak for jeres tid.

Med Venlig Hilsen
Daniel Bielefeldt.