---

Hej

Er der nogen der har rodet med ipsec på ubuntu 8.04 ?

Jeg har sat min tunnel op i racoon og den bygger fint. Men den får ikke
laver nogen routes, så al trafik til modtager remote bliver sendt ud på
internettet.


Nogen der har lidt input eller ideér ?

Mvh.
Svend

Jun 10 14:57:01 host racoon: INFO: accept a request to establish IKE-SA:
<remote wan>
Jun 10 14:57:01 host racoon: INFO: initiate new phase 1 negotiation:
<wan>[500]<=><remote wan>[500]
Jun 10 14:57:01 host racoon: INFO: begin Identity Protection mode.
Jun 10 14:57:01 host racoon: INFO: received Vendor ID: DPD
Jun 10 14:57:01 host racoon: WARNING: ignore INITIAL-CONTACT
notification, because it is only accepted after phase1.
Jun 10 14:57:01 host racoon: INFO: ISAKMP-SA established
<wan>[500]-<remote wan>[500] spi:451b0e2a7a06019d:1c973d20559c1c6a



setkey -DP :

<remote lan>/24[any] <lan>/24[any] any
in ipsec
esp/tunnel/<wan>-<remote wan>/require
created: Jun 10 07:47:45 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2328 seq=1 pid=16573
refcnt=1
<lan>/24[any] <remote lan>/24[any] any
out ipsec
esp/tunnel/<remote wan>-<wan>/require
created: Jun 10 07:47:45 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2345 seq=2 pid=16573
refcnt=1
<remote lan>/24[any] <lan>/24[any] any
fwd ipsec
esp/tunnel/<wan>-<remote wan>/require
created: Jun 10 07:47:45 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2338 seq=3 pid=16573
refcnt=1
(per-socket policy)
in none
created: Jun 10 06:54:35 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2315 seq=4 pid=16573
refcnt=1
(per-socket policy)
in none
created: Jun 10 06:54:35 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2299 seq=5 pid=16573
refcnt=1
(per-socket policy)
in none
created: Jun 10 06:54:35 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2283 seq=6 pid=16573
refcnt=1
(per-socket policy)
in none
created: Jun 10 06:54:35 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2267 seq=7 pid=16573
refcnt=1
(per-socket policy)
in none
created: Jun 10 06:54:35 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2251 seq=8 pid=16573
refcnt=1
(per-socket policy)
in none
created: Jun 10 06:54:35 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2235 seq=9 pid=16573
refcnt=1
(per-socket policy)
out none
created: Jun 10 06:54:35 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2324 seq=10 pid=16573
refcnt=1
(per-socket policy)
out none
created: Jun 10 06:54:35 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2308 seq=11 pid=16573
refcnt=1
(per-socket policy)
out none
created: Jun 10 06:54:35 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2292 seq=12 pid=16573
refcnt=1
(per-socket policy)
out none
created: Jun 10 06:54:35 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2276 seq=13 pid=16573
refcnt=1
(per-socket policy)
out none
created: Jun 10 06:54:35 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2260 seq=14 pid=16573
refcnt=1
(per-socket policy)
out none
created: Jun 10 06:54:35 2008 lastused:
lifetime: 0(s) validtime: 0(s)
spid=2244 seq=0 pid=16573
refcnt=1

---

Den Tue, 10 Jun 2008 15:00:09 +0200 skrev Svend:
> Hej
>
> Er der nogen der har rodet med ipsec på ubuntu 8.04 ?
>
> Jeg har sat min tunnel op i racoon og den bygger fint. Men den får ikke
> laver nogen routes, så al trafik til modtager remote bliver sendt ud på
> internettet.
>
>
> Nogen der har lidt input eller ideér ?

Jeg mener ikke racoon laver routes. Det er dens opgave at udveksle
krypterings-nøgler, ikke at route trafikken.

Jeg har i hvert fald en "ip route add ..." linje i mit wlan-script.

Mvh
Kent
--
Hvis en sort kat går over vejen foran en bil, betyder det ulykke

.... for katten.

---

Kent Friis wrote:
> Den Tue, 10 Jun 2008 15:00:09 +0200 skrev Svend:
>> Hej
>>
>> Er der nogen der har rodet med ipsec på ubuntu 8.04 ?
>>
>> Jeg har sat min tunnel op i racoon og den bygger fint. Men den får ikke
>> laver nogen routes, så al trafik til modtager remote bliver sendt ud på
>> internettet.
>>
>>
>> Nogen der har lidt input eller ideér ?
>
> Jeg mener ikke racoon laver routes. Det er dens opgave at udveksle
> krypterings-nøgler, ikke at route trafikken.
>
> Jeg har i hvert fald en "ip route add ..." linje i mit wlan-script.
>
> Mvh
> Kent

Jamen det er da helt givet jeg mangler noget forståelse af hvad der
sker, det er første gang jeg roder med ipsec på linux.

Men jeg er ikke helt klar over hvor jeg skal route traffiken mod ?


--
Svend


setkey.conf :

#!/usr/sbin/setkey -f
#
# Flush SAD and SPD
flush;
spdflush;
# Create policies for racoon
spdadd <remote lan>/24 <lan>/24 any -P in ipsec esp/tunnel/<wan>-<remote
wan>/require;
spdadd <lan>/24 <remote lan>/24 any -P out ipsec
esp/tunnel/<remote wan>-<wan>/require;

---

Den Wed, 11 Jun 2008 07:20:29 +0200 skrev Svend:
> Kent Friis wrote:
>> Den Tue, 10 Jun 2008 15:00:09 +0200 skrev Svend:
>>> Hej
>>>
>>> Er der nogen der har rodet med ipsec på ubuntu 8.04 ?
>>>
>>> Jeg har sat min tunnel op i racoon og den bygger fint. Men den får ikke
>>> laver nogen routes, så al trafik til modtager remote bliver sendt ud på
>>> internettet.
>>>
>>>
>>> Nogen der har lidt input eller ideér ?
>>
>> Jeg mener ikke racoon laver routes. Det er dens opgave at udveksle
>> krypterings-nøgler, ikke at route trafikken.
>>
>> Jeg har i hvert fald en "ip route add ..." linje i mit wlan-script.
>
> Jamen det er da helt givet jeg mangler noget forståelse af hvad der
> sker, det er første gang jeg roder med ipsec på linux.
>
> Men jeg er ikke helt klar over hvor jeg skal route traffiken mod ?

Imod tunnelens anden endpoint, vil jeg mene. Om det er det interne
eller det eksterne ip-nummer er jeg ikke helt sikker på (der er kun
et sæt ip-numre i mit setup).

Mvh
Kent
--
Hvis en sort kat går over vejen foran en bil, betyder det ulykke

.... for katten.

---

Kent Friis wrote:
> Den Wed, 11 Jun 2008 07:20:29 +0200 skrev Svend:
>> Kent Friis wrote:
>>> Den Tue, 10 Jun 2008 15:00:09 +0200 skrev Svend:
>>>> Hej
>>>>
>>>> Er der nogen der har rodet med ipsec på ubuntu 8.04 ?
>>>>
>>>> Jeg har sat min tunnel op i racoon og den bygger fint. Men den får ikke
>>>> laver nogen routes, så al trafik til modtager remote bliver sendt ud på
>>>> internettet.
>>>>
>>>>
>>>> Nogen der har lidt input eller ideér ?
>>> Jeg mener ikke racoon laver routes. Det er dens opgave at udveksle
>>> krypterings-nøgler, ikke at route trafikken.
>>>
>>> Jeg har i hvert fald en "ip route add ..." linje i mit wlan-script.
>> Jamen det er da helt givet jeg mangler noget forståelse af hvad der
>> sker, det er første gang jeg roder med ipsec på linux.
>>
>> Men jeg er ikke helt klar over hvor jeg skal route traffiken mod ?
>
> Imod tunnelens anden endpoint, vil jeg mene. Om det er det interne
> eller det eksterne ip-nummer er jeg ikke helt sikker på (der er kun
> et sæt ip-numre i mit setup).
>
> Mvh
> Kent

Det kan da ikke være den interne ip da den er en del af det der skal
routes. Hvis det er den eksterne gateway vil min box bare route det ud
på nettet.

mangler der ikke et virtuelt device ?

--
Svend

---

Den Wed, 11 Jun 2008 20:28:13 +0200 skrev Svend:
> Kent Friis wrote:
>> Den Wed, 11 Jun 2008 07:20:29 +0200 skrev Svend:
>>> Kent Friis wrote:
>>>> Den Tue, 10 Jun 2008 15:00:09 +0200 skrev Svend:
>>>>> Hej
>>>>>
>>>>> Er der nogen der har rodet med ipsec på ubuntu 8.04 ?
>>>>>
>>>>> Jeg har sat min tunnel op i racoon og den bygger fint. Men den får ikke
>>>>> laver nogen routes, så al trafik til modtager remote bliver sendt ud på
>>>>> internettet.
>>>>>
>>>>>
>>>>> Nogen der har lidt input eller ideér ?
>>>> Jeg mener ikke racoon laver routes. Det er dens opgave at udveksle
>>>> krypterings-nøgler, ikke at route trafikken.
>>>>
>>>> Jeg har i hvert fald en "ip route add ..." linje i mit wlan-script.
>>> Jamen det er da helt givet jeg mangler noget forståelse af hvad der
>>> sker, det er første gang jeg roder med ipsec på linux.
>>>
>>> Men jeg er ikke helt klar over hvor jeg skal route traffiken mod ?
>>
>> Imod tunnelens anden endpoint, vil jeg mene. Om det er det interne
>> eller det eksterne ip-nummer er jeg ikke helt sikker på (der er kun
>> et sæt ip-numre i mit setup).
>
> Det kan da ikke være den interne ip da den er en del af det der skal
> routes. Hvis det er den eksterne gateway vil min box bare route det ud
> på nettet.

Men der er jo netop en regel om at trafik til den ip skal være
krypteret.

> mangler der ikke et virtuelt device ?

Nej, det bruges ikke i den nuværende ipsec-implementation.

Mvh
Kent
--
Hvis en sort kat går over vejen foran en bil, betyder det ulykke

.... for katten.

---

Kent Friis wrote:
> Den Wed, 11 Jun 2008 20:28:13 +0200 skrev Svend:
>> Kent Friis wrote:
>>> Den Wed, 11 Jun 2008 07:20:29 +0200 skrev Svend:
>>>> Kent Friis wrote:
>>>>> Den Tue, 10 Jun 2008 15:00:09 +0200 skrev Svend:
>>>>>> Hej
>>>>>>
>>>>>> Er der nogen der har rodet med ipsec på ubuntu 8.04 ?
>>>>>>
>>>>>> Jeg har sat min tunnel op i racoon og den bygger fint. Men den får ikke
>>>>>> laver nogen routes, så al trafik til modtager remote bliver sendt ud på
>>>>>> internettet.
>>>>>>
>>>>>>
>>>>>> Nogen der har lidt input eller ideér ?
>>>>> Jeg mener ikke racoon laver routes. Det er dens opgave at udveksle
>>>>> krypterings-nøgler, ikke at route trafikken.
>>>>>
>>>>> Jeg har i hvert fald en "ip route add ..." linje i mit wlan-script.
>>>> Jamen det er da helt givet jeg mangler noget forståelse af hvad der
>>>> sker, det er første gang jeg roder med ipsec på linux.
>>>>
>>>> Men jeg er ikke helt klar over hvor jeg skal route traffiken mod ?
>>> Imod tunnelens anden endpoint, vil jeg mene. Om det er det interne
>>> eller det eksterne ip-nummer er jeg ikke helt sikker på (der er kun
>>> et sæt ip-numre i mit setup).
>> Det kan da ikke være den interne ip da den er en del af det der skal
>> routes. Hvis det er den eksterne gateway vil min box bare route det ud
>> på nettet.
>
> Men der er jo netop en regel om at trafik til den ip skal være
> krypteret.
>
>> mangler der ikke et virtuelt device ?
>
> Nej, det bruges ikke i den nuværende ipsec-implementation.
>
> Mvh
> Kent


Noget siger mig at phase 2 ikke bliver startet. dvs ipsec delen.

ifølge <http://www.ipsec-howto.org/x299.html> skal der være mere i loggen.

--
Svend