PDA

Visualizza la versione completa : aiuto freeswan


tonneau
16-04-2004, 11:48
ciao a tutti ragazzi
questa la prima volta che scrivo nel forum, un po che vi seguo ed oggi ho deciso di rivolgermi a voi per una richiesta disperata.

ho installato da poco fedora
ho installato il pacchetto di freeswan
ed ho fatto una configurazione road warrior con chiave PSK

dal mio client che un win xp tramite ssh sentinel cerco di aprire il tunnel vpn ma dopo l'esito positivo della verifica della fase1 durante la fase2 mi da dei problemi, premetto che non uso dhcp e che da ssh ho impostato manualmente il rilascio di un ip che fa parte della mia sottorete della box linux dove gira freeswan

se vado a vedere i log di freeswan in var/log/secure trovo

packet from 82.84.178.245:500: received Vendor ID Payload; ASCII hash: cY!'
"linux-lillo"[3] 82.84.178.245 #5: responding to Main Mode from unknown peer 82.84.178.245
"linux-lillo"[3] 82.84.178.245 #5: ignoring informational payload, type IPSEC_INITIAL_CONTACT
"linux-lillo"[3] 82.84.178.245 #5: Peer ID is ID_IPV4_ADDR: '82.84.178.245'
"linux-lillo"[3] 82.84.178.245 #5: sent MR3, ISAKMP SA established
"linux-lillo"[3] 82.84.178.245 #5: cannot respond to IPsec SA request because no connection is known for 0.0.0.0/0===XXX.XXX.XXX.XXX...82.84.178.245==={10.0.0.27/32}
"linux-lillo"[3] 82.84.178.245 #5: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x6e4963e4 (perhaps this is a duplicated packet)
Apr 15 14:46:17 fedoralillo last message repeated 4 times
"linux-lillo"[3] 82.84.178.245 #5: received Delete SA payload: deleting ISAKMP State #5
"linux-lillo"[3] 82.84.178.245: deleting connection "linux-lillo" instance with peer 82.84.178.245 {isakmp=#0/ipsec=#0}

vi prego datemi una mano perch sto uscendo pazzo.
il fatto strano che mi fa pensare che la fase 1 della condivisione della chiave avviene senza problemi la fase2 che non viene poi portata a termine.

la box con freeswan ha un ip publico e non dietro firewall, cio viene tranquillamente pingata dall'esterno, lo stesso vale con il cliente.

aiuto aiuto aiuto

mageta
16-04-2004, 12:17
cos al volo dura, prova a postare la configurazione di freeswan

tonneau
16-04-2004, 14:03
ti mando la configurazione che ho fatto del file ipsec.conf
da prima ho provato aggiungendo delle righe che ho trovato in altri file di configurazione ma senza nessun risultato
con questo tipo di file riesco a passare la fase 1 di ssh ma non la fase 2

config setup
interfaces="ipsec0=eth0"
klipsdebug=none
plutodebug=none



conn linux-lillo
left=80.xxx.xxx.58
leftnexthop=80.xxx.xxx.49
leftsubnet=0.0.0.0/24
right=%any
rightsubnetwithin=10.0.0.0/24
authby=secret
auto=add

ti mando anche il file ipsec.secret

80.xxx.xxx.58 %any : PSK "password"

spero che tu possa aiutarmi

tonneau
16-04-2004, 14:04
nel file la leftsubnet non 0.0.0.0 ma 10.0.0.0/24

mageta
17-04-2004, 01:08
Originariamente inviato da tonneau
ti mando la configurazione che ho fatto del file ipsec.conf
da prima ho provato aggiungendo delle righe che ho trovato in altri file di configurazione ma senza nessun risultato
con questo tipo di file riesco a passare la fase 1 di ssh ma non la fase 2

config setup
interfaces="ipsec0=eth0"
klipsdebug=none
plutodebug=none



conn linux-lillo
left=80.xxx.xxx.58
leftnexthop=80.xxx.xxx.49
come mai hai abilitato il nexthop? se una macchina nattata, ma non mi pare allora devi usare openswan, altrimenti una restrizione un po inutile.


leftsubnet=0.0.0.0/24
qua devi mettere la rete che sta dietro la macchina server ovvero quella dove gira freeswan mettiamo che la rete sia 192.168.1.0/24
sar una cosa del genere leftsubnet=192.168.1.0/24


right=%any
rightsubnetwithin=10.0.0.0/24
qua non devi mettere nulla, in quanto il warior non ha una rete alle spalle sar quindi:
rightsubnet=


authby=secret
auto=add

ti mando anche il file ipsec.secret

80.xxx.xxx.58 %any : PSK "password"

spero che tu possa aiutarmi

altra cosa, se ssh su windows da problemi potrebbero essere gli algoritmi di criptazione diversi, infatti freeswan ne usa uno di default, ssh ne usa un altro, prova a controllare.

ciao

Loading