IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 27.05.2017, 21:36

Alle Zeiten sind UTC+02:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 17 Beiträge ]  Gehe zu Seite Vorherige 1 2
Autor Nachricht
BeitragVerfasst: 30.01.2017, 22:19 
Offline
Site-Moderator
Site-Moderator
Benutzeravatar

Registriert: 18.12.2007
Beiträge: 3321
Wohnort: Im Norden bei mir zu Hause
Code:
root@testcop:~ # ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path                                 [OK]
Linux Openswan U2.6.42/K3.10-1 (netkey)
Checking for IPsec support in kernel                            [OK]
 SAref kernel support                                           [N/A]
 NETKEY:  Testing XFRM related proc values                      [OK]
        [OK]
        [OK]
Checking that pluto is running                                  [OK]
 Pluto listening for IKE on udp 500                             [OK]
 Pluto listening for NAT-T on udp 4500                          [OK]
Two or more interfaces found, checking IP forwarding            [FAILED]
Checking NAT and MASQUERADEing                                  [OK]
Checking for 'ip' command                                       [OK]
Checking /bin/sh is not /bin/dash                               [OK]
Checking for 'iptables' command                                 [OK]
Opportunistic Encryption Support                                [DISABLED]
root@testcop:~ #
Und vom produktiven Cop:
Code:
root@prodcopv2:~ # ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path                                 [OK]
Linux Openswan U2.6.42/K3.4-3 (netkey)
Checking for IPsec support in kernel                            [OK]
 SAref kernel support                                           [N/A]
 NETKEY:  Testing XFRM related proc values                      [OK]
        [OK]
        [OK]
Hardware RNG detected, testing if used properly                 [FAILED]

  Hardware RNG is present but 'rngd' or 'clrngd' is not running.
  No harware random used!

Checking that pluto is running                                  [OK]
 Pluto listening for IKE on udp 500                             [OK]
 Pluto listening for NAT-T on udp 4500                          [OK]
Two or more interfaces found, checking IP forwarding            [FAILED]
Checking NAT and MASQUERADEing                                  [OK]
Checking for 'ip' command                                       [OK]
Checking /bin/sh is not /bin/dash                               [OK]
Checking for 'iptables' command                                 [OK]
Opportunistic Encryption Support                                [DISABLED]
root@prodcopv2:~ #

_________________
Gruß edelweis

Sledgehammer engineering, if it doesn't work, hammer it damn hard :super:

Bild
Bild
Meine Vorstellung


Nach oben
   
BeitragVerfasst: 06.02.2017, 18:41 
Offline
VPN-Experte
VPN-Experte
Benutzeravatar

Registriert: 04.02.2007
Beiträge: 253
Wohnort: Landsberg, Bayern, Deutschland
Hallo alle zusammen,

ich habe sogar noch ein "FAILED" mehr :-) Das liegt daran, dass ich in der ipsec.conf nat_traversal=no gesetzt habe.
Code:
 ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path                                 [OK]
Linux Openswan U2.6.42/K3.4-3 (netkey)
Checking for IPsec support in kernel                            [OK]
 SAref kernel support                                           [N/A]
 NETKEY:  Testing XFRM related proc values                      [OK]
        [OK]
        [OK]
Hardware RNG detected, testing if used properly                 [FAILED]

  Hardware RNG is present but 'rngd' or 'clrngd' is not running.
  No harware random used!

Checking that pluto is running                                  [OK]
 Pluto listening for IKE on udp 500                             [OK]
 Pluto listening for NAT-T on udp 4500                          [FAILED]
Two or more interfaces found, checking IP forwarding            [FAILED]
Checking NAT and MASQUERADEing                                  [OK]
Checking for 'ip' command                                       [OK]
Checking /bin/sh is not /bin/dash                               [OK]
Checking for 'iptables' command                                 [OK]
Opportunistic Encryption Support                                [DISABLED]


Das nat_traversal=no solltest du nur auf dem server aktivieren. Laut deinen Logs ist der Tunnel aufgebaut. Die Log vom Server sagt sogar
Code:
Jan 28 23:54:35 router pluto[18393]: "Vereinsnetz" #52: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike (MacOS X): peer is NATed
UMTS/LTE/usw. Betreiber blockieren normalerweise ESP usw., weshalb bei deinem Client die Pakete genattet werden.

IPSec ab Version 2.x.x verwendet NETKEY, d. h. es gibt keine ipsecX-Interfaces und somit auch keine Routen mehr. Welches Paket wohin "geroutet" werden muss, weiß der Cop anhand der Policies aus der IPSec-Konfiguration. Bei meinen Cops steht auch keine einzige Route für das Remotnetz mehr in der Routingtabelle. Wenn ich von meinem Rechner einen Rechner im Remotenetz pinge, schickt er dieses Paket erst an den Standardgateway (in unserem Fall hoffentlich der IPCop), der sich drum kümmert das Paket richtig zu routen (Routingtabelle) bzw. in den Policies entsprechende Einträge zu finden.

Was mir allerdings bei deiner Ausgabe von
Code:
ip xfrm policy
auffällt. Bei meinen Cops habe ich zwei Einträge mehr.
Code:
src 192.168.1.0/24 dst 192.168.2.0/24
        dir out priority 2344
        tmpl src <IP IPCop ROT> dst <öffentliche IP RemoteCop>
                proto esp reqid 16401 mode tunnel
src 192.168.1.0/24 dst 192.168.2.0/24
        dir fwd priority 2344
        tmpl src <öffentliche IP RemoteCop> dst <IP IPCop ROT>
                proto esp reqid 16401 mode tunnel
src 192.168.1.0/24 dst 192.168.2.0/24
        dir in priority 2344
        tmpl src <öffentliche IP RemoteCop> dst <IP IPCop ROT>
                proto esp reqid 16401 mode tunnel
Den ersten mit "dir out" hast du auch, allerdings im "mode transport" und bei reqid steht null. Die IPs (src und dst) sind bei dir sind auch anders, könnten allerdings passen weil meine Cops hinter einem Router am Internet hängen und deiner direkt am Netz.

Grüße
TwoFace

_________________
Über mich
Guggst du IPSec VPN hinter Routern
Bild


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 17 Beiträge ]  Gehe zu Seite Vorherige 1 2

Alle Zeiten sind UTC+02:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de