 |
|
|
|
| Autor |
Nachricht |
Dan
Anmeldungsdatum: 21.12.2005
Beiträge: 3
|
 Verfasst am:
Mi 21 Dez, 2005 15:43 |
  |
|
Hallo,
ich habe ein Problem mit dem Aufbau der VPN Verbindung von einem LanCom 1621 zu einem OpenSWAN Gateway. Ich verwende Zertifikate für die Authentifizierung. Die Definitionen der Verbindungen auf dem OpenSWAN Gateway sollten richtig sein, da es schon 3 BinTec Router gibt, die mit dem Gateway funktioneren.
Das Gateway zeigt folgendes an :
Dec 21 14:37:54 tenwall pluto[5935]: "hagen-eicker"[4] 212.95.104.122 #54: sent MR3, ISAKMP SA established
Dec 21 14:37:54 tenwall pluto[5935]: packet from 212.95.104.122:500: ignoring informational payload, type INVALID_HASH_INFORMATION
Die Zertifikate sind auf dem Lancom importiert worden und werden mittels vpn show ca und vpn show cert auch angezeigt. Die richtige Identität wird auch gesendet. Verschlüsselung läuft über 3DES/MD5.
Der Lancom Router zeigt folgenden Fehler an: Allgemeiner Fehler(Initiator, IKE) [0x21FF]
Für Tipps, wie ich das Problem beheben kann, bin ich dankbar. |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Mi 21 Dez, 2005 19:08 |
|
|
Hallo Dan,
| Zitat:
|
|
Die Zertifikate sind auf dem Lancom importiert worden und werden mittels vpn show ca und vpn show cert auch angezeigt. Die richtige Identität wird auch gesendet.
|
Du hast auch wirklich beim entfernten Identitätstyp 'ASN.1-Distinguished Name' ausgewählt?
Und hast zusätzlich bedacht, dass der Lancom den DN des eingehenden Zertifikates prüft? Dieser DN muss natürlich korrekt in 'Entfernte Identität' eingetragen sein.
Gruß
Mario |
|
|
|
|
Dan
Anmeldungsdatum: 21.12.2005
Beiträge: 3
|
| Verfasst am:
Mi 21 Dez, 2005 19:25 |
|
|
| eddia hat folgendes geschrieben:
|
Du hast auch wirklich beim entfernten Identitätstyp 'ASN.1-Distinguished Name' ausgewählt?
|
Ja.
| eddia hat folgendes geschrieben:
|
Und hast zusätzlich bedacht, dass der Lancom den DN des eingehenden Zertifikates prüft? Dieser DN muss natürlich korrekt in 'Entfernte Identität' eingetragen sein.
|
Die ASN.1 DN ist sowohl für die Lokale als auch für die Remote Identität korrekt gesetzt. |
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Mi 21 Dez, 2005 20:16 |
|
|
Hallo Dan,
| Zitat:
|
|
Die ASN.1 DN ist sowohl für die Lokale als auch für die Remote Identität korrekt gesetzt.
|
Besteht der remote DN zufällig aus mehreren RDNs? Dann ist auch noch die Reihenfolge der RDNs wichtig. In diesem Fall lädst Du Dir einfach mal testweise das Zertifikat vom OpenSWAN als Gerätezertifikat in den Lancom. Der dann per vpn show cert angezeigte DN muss dann genau umgedreht in die entfernte Identität des Lancoms eingegeben werden.
Gruß
Mario |
|
|
|
|
Dan
Anmeldungsdatum: 21.12.2005
Beiträge: 3
|
| Verfasst am:
Do 22 Dez, 2005 09:48 |
|
|
| eddia hat folgendes geschrieben:
|
Hallo Dan,
Besteht der remote DN zufällig aus mehreren RDNs? Dann ist auch noch die Reihenfolge der RDNs wichtig. In diesem Fall lädst Du Dir einfach mal testweise das Zertifikat vom OpenSWAN als Gerätezertifikat in den Lancom. Der dann per vpn show cert angezeigte DN muss dann genau umgedreht in die entfernte Identität des Lancoms eingegeben werden.
|
Ja, sie besteht aus mehrerer RDNs. Die Zertifikate werden über vpn show cert auch korrekt angezeigt. Die Reihenfolge im Lancom, also umgedreht, passt auch. |
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
Do 22 Dez, 2005 22:39 |
|
|
Hallo Dan,
dann poste doch mal einen Vpn-Status Trace vom Lancom, wenn der OpenSWAN eine Verbindung initiiert.
Gruß
Mario |
|
|
|
|
ALuedtke
Anmeldungsdatum: 08.01.2006
Beiträge: 29
|
| Verfasst am:
So 08 Jan, 2006 13:48 |
|
|
Hi Dan,
da ich auch an einer VPN Verbindung zu Openswan interressiert bin, frage ich Dich ob Du es schon hinbekommen hast?
Hast Du schon eine Verbindung mit PSKs geschafft? Bei mir hapert es da noch...
Gruß
Andreas |
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
So 08 Jan, 2006 14:58 |
|
|
Hallo Andreas,
| Zitat:
|
|
Hast Du schon eine Verbindung mit PSKs geschafft? Bei mir hapert es da noch...
|
ich hab von OpenSwan zwar keine Ahnung - aber folgendes musste auf dem Lancom immer abweichend konfiguriert werden.
1. Die Proposalliste des Lancoms darf nur Einträge mit einem Verschlüsselungsalgorithmus (der natürlich im OpenSwan ebenfalls konfiguriert ist) enthalten, also z.B. nur AES-MD5 und AES-SHA. Deshalb muss man sich eine neue Proposalliste anlegen.
2. Die Gültigkeitsdauer dieser IKE-Proposals darf maximal 86400s betragen.
So hat das mit mehreren OpenSwans als Gegenstelle geklappt.
Gruß
Mario |
|
|
|
|
ALuedtke
Anmeldungsdatum: 08.01.2006
Beiträge: 29
|
| Verfasst am:
So 08 Jan, 2006 17:07 |
|
|
Hallo Mario,
ich hatte mich auch schon auf eine einzige Verschlüsselungsart (aes) beschränkt. Könntest Du mir evtl. die Parameter einer funktionierenden Verbindung schicken (ipsec.conf auf Openswan Seite und "show vpn long" auf Lancom Seite)? Ich bin bald am Ende von meinem Latein...
Danke
Andreas |
|
|
|
|
eddia
Anmeldungsdatum: 15.11.2004
Beiträge: 1239
|
| Verfasst am:
So 08 Jan, 2006 18:12 |
|
|
Hallo Andreas,
| Zitat:
|
|
Könntest Du mir evtl. die Parameter einer funktionierenden Verbindung schicken (ipsec.conf auf Openswan Seite und "show vpn long" auf Lancom Seite)?
|
wie schon gesagt - die OpenSwan Seite ist nicht mein Bier. Ich habe nur die Lancom Konfiguration in Absprache mit den OpenSwan Admins gemacht. Und genau diese Sachen mussten immer geändert werden.
Gruß
Mario |
|
|
|
|
|
|
|
|
| |
|
|
