Verbindung openWRT (Openswan) und LC1711

ALuedtke · Beitrag von **ALuedtke** » 08 Jan 2006, 12:45

Moin,

ich versuche nun seit ca. 1 Woche eine VPN Verbindung zwischen openWRT (openwrt.org) mit Openswan 2.4.4 und einem LC1711 mit FW 5.20 aufzubauen.

Hat so etwas schon mal jemand hinbekommen? Oder kann mir jemand sagen woran das liegen könnte?

Danke schon mal im voraus

Andreas

Hier das LC Log (Trace + vpn-sta):

[VPN-Status] 2006/01/08 12:13:14,000
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer LINUX id <no_id> negotiated rfc-3706-dead-peer-detection

[VPN-Status] 2006/01/08 12:13:14,000
IKE info: Phase-1 remote proposal 1 for peer LINUX matched with local proposal 1

[VPN-Status] 2006/01/08 12:13:14,390
IKE info: Phase-1 [responder] for peer LINUX between initiator id xxx.xxx.xxx.xxx, responder id yyy.yyy.yyy.yyy done
IKE info: SA ISAKMP for peer LINUX encryption aes-cbc authentication md5
IKE info: life time ( 3600 sec/ 0 kb)

[VPN-Status] 2006/01/08 12:13:14,580
IKE info: Phase-2 remote proposal 1 for peer LINUX matched with local proposal 1

[VPN-Status] 2006/01/08 12:13:15,200
IKE info: Phase-2 [responder] done with 2 SAS for peer LINUX rule ipsec-14-LINUX-pr0-l0-r0
IKE info: rule:' ipsec 10.11.12.0/255.255.255.0 <-> 10.7.7.0/255.255.255.0 '
IKE info: SA ESP [0xbddf3406] alg AES keylength 128 +hmac HMAC_MD5 outgoing
IKE info: SA ESP [0x7fa0eb64] alg AES keylength 128 +hmac HMAC_MD5 incoming
IKE info: life soft( 25920 sec/0 kb) hard (28800 sec/0 kb)
IKE info: tunnel between src: yyy.yyy.yyy.yyy dst: xxx.xxx.xxx.xxx

[VPN-Status] 2006/01/08 12:13:15,200
VPN: wait for IKE negotiation from LINUX (xxx.xxx.xxx.xxx)

[VPN-Status] 2006/01/08 12:13:27,230
VPN: disconnecting LINUX (xxx.xxx.xxx.xxx)

[VPN-Status] 2006/01/08 12:13:27,240
IKE info: Delete Notificaton sent for Phase-2 SA ipsec-14-LINUX-pr0-l0-r0 to peer LINUX, spi [0x7fa0eb64]

[VPN-Status] 2006/01/08 12:13:27,240
IKE info: Phase-2 SA removed: peer LINUX rule ipsec-14-LINUX-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [bddf3406 ] [7fa0eb64 ]

[VPN-Status] 2006/01/08 12:13:27,240
IKE info: Delete Notificaton sent for Phase-1 SA to peer LINUX

[VPN-Status] 2006/01/08 12:13:27,240
IKE info: Phase-1 SA removed: peer LINUX rule LINUX removed

[VPN-Status] 2006/01/08 12:13:27,280
VPN: selecting first remote gateway using strategy eFirst for LINUX
=> CurrIdx=0, IpStr=>linux.dyndns.org<, IpAddr=xxx.xxx.xxx.xxx, IpTtl=60s

[VPN-Status] 2006/01/08 12:13:27,280
VPN: installing ruleset for LINUX (xxx.xxx.xxx.xxx)

[VPN-Status] 2006/01/08 12:13:27,290
VPN: LINUX (xxx.xxx.xxx.xxx) disconnected

[VPN-Status] 2006/01/08 12:13:27,300
VPN: rulesets installed

[VPN-Status] 2006/01/08 12:13:27,310
IKE log: 121327 Default message_recv: invalid cookie(s) 07bd5a344cd5485a 27b7cfcc09eda901

[VPN-Status] 2006/01/08 12:13:27,310
IKE log: 121327 Default dropped message from xxx.xxx.xxx.xxx port 500 due to notification type INVALID_COOKIE

[VPN-Status] 2006/01/08 12:13:27,310
IKE info: dropped message from peer unknown xxx.xxx.xxx.xxx port 500 due to notification type INVALID_COOKIE

[VPN-Status] 2006/01/08 12:13:34,360
VPN: starting external DNS resolution for LINUX
IpStr=>linux.dyndns.org<, IpAddr(old)=xxx.xxx.xxx.xxx, IpTtl(old)=60s

[VPN-Status] 2006/01/08 12:13:34,390
VPN: external DNS resolution for LINUX
IpStr=>linux.dyndns.org<, IpAddr(old)=xxx.xxx.xxx.xxx, IpTtl(old)=60s
IpStr=>linux.dyndns.org<, IpAddr(new)=xxx.xxx.xxx.xxx, IpTtl(new)=60s

[VPN-Status] 2006/01/08 12:13:37,360
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer LINUX id <no_id> negotiated rfc-3706-dead-peer-detection

[VPN-Status] 2006/01/08 12:13:37,360
IKE info: Phase-1 remote proposal 1 for peer LINUX matched with local proposal 1

[VPN-Status] 2006/01/08 12:13:37,710
IKE info: Phase-1 [responder] for peer LINUX between initiator id xxx.xxx.xxx.xxx, responder id yyy.yyy.yyy.yyy done
IKE info: SA ISAKMP for peer LINUX encryption aes-cbc authentication md5
IKE info: life time ( 3600 sec/ 0 kb)

[VPN-Status] 2006/01/08 12:13:37,910
IKE info: Phase-2 remote proposal 1 for peer LINUX matched with local proposal 1

[VPN-Status] 2006/01/08 12:13:38,080
IKE info: Phase-2 [responder] done with 2 SAS for peer LINUX rule ipsec-14-LINUX-pr0-l0-r0
IKE info: rule:' ipsec 10.11.12.0/255.255.255.0 <-> 10.7.7.0/255.255.255.0 '
IKE info: SA ESP [0xbddf3407] alg AES keylength 128 +hmac HMAC_MD5 outgoing
IKE info: SA ESP [0x3d8190cc] alg AES keylength 128 +hmac HMAC_MD5 incoming
IKE info: life soft( 25920 sec/0 kb) hard (28800 sec/0 kb)
IKE info: tunnel between src: yyy.yyy.yyy.yyy dst: xxx.xxx.xxx.xxx

[VPN-Status] 2006/01/08 12:13:38,090
VPN: wait for IKE negotiation from LINUX (xxx.xxx.xxx.xxx)

[VPN-Status] 2006/01/08 12:13:50,120
VPN: disconnecting LINUX (xxx.xxx.xxx.xxx)

[VPN-Status] 2006/01/08 12:13:50,130
IKE info: Delete Notificaton sent for Phase-2 SA ipsec-14-LINUX-pr0-l0-r0 to peer LINUX, spi [0x3d8190cc]

[VPN-Status] 2006/01/08 12:13:50,130
IKE info: Phase-2 SA removed: peer LINUX rule ipsec-14-LINUX-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [bddf3407 ] [3d8190cc ]

[VPN-Status] 2006/01/08 12:13:50,130
IKE info: Delete Notificaton sent for Phase-1 SA to peer LINUX

[VPN-Status] 2006/01/08 12:13:50,130
IKE info: Phase-1 SA removed: peer LINUX rule LINUX removed

[VPN-Status] 2006/01/08 12:13:50,170
VPN: selecting first remote gateway using strategy eFirst for LINUX
=> CurrIdx=0, IpStr=>linux.dyndns.org<, IpAddr=xxx.xxx.xxx.xxx, IpTtl=60s

[VPN-Status] 2006/01/08 12:13:50,170
VPN: installing ruleset for LINUX (xxx.xxx.xxx.xxx)

[VPN-Status] 2006/01/08 12:13:50,180
VPN: LINUX (xxx.xxx.xxx.xxx) disconnected

[VPN-Status] 2006/01/08 12:13:50,190
VPN: rulesets installed

[VPN-Status] 2006/01/08 12:13:50,190
IKE log: 121350 Default message_recv: invalid cookie(s) 7445b7ad8ab0da73 49469fdb4964ef12

[VPN-Status] 2006/01/08 12:13:50,190
IKE log: 121350 Default dropped message from xxx.xxx.xxx.xxx port 500 due to notification type INVALID_COOKIE

[VPN-Status] 2006/01/08 12:13:50,200
IKE info: dropped message from peer unknown xxx.xxx.xxx.xxx port 500 due to notification type INVALID_COOKIE

[VPN-Status] 2006/01/08 12:14:00,250
IKE info: The remote server xxx.xxx.xxx.xxx:500 peer LINUX id <no_id> negotiated rfc-3706-dead-peer-detection

[VPN-Status] 2006/01/08 12:14:00,250
IKE info: Phase-1 remote proposal 1 for peer LINUX matched with local proposal 1

[VPN-Status] 2006/01/08 12:14:00,650
IKE info: Phase-1 [responder] for peer LINUX between initiator id 84.140.249.1
24, responder id yyy.yyy.yyy.yyy done
IKE info: SA ISAKMP for peer LINUX encryption aes-cbc authentication md5
IKE info: life time ( 3600 sec/ 0 kb)

[VPN-Status] 2006/01/08 12:14:00,850
IKE info: Phase-2 remote proposal 1 for peer LINUX matched with local proposal 1

[VPN-Status] 2006/01/08 12:14:01,020
IKE info: Phase-2 [responder] done with 2 SAS for peer LINUX rule ipsec-14-LINUX-pr0-l0-r0
IKE info: rule:' ipsec 10.11.12.0/255.255.255.0 <-> 10.7.7.0/255.255.255.0 '
IKE info: SA ESP [0xbddf3408] alg AES keylength 128 +hmac HMAC_MD5 outgoing
IKE info: SA ESP [0x39566d95] alg AES keylength 128 +hmac HMAC_MD5 incoming
IKE info: life soft( 25920 sec/0 kb) hard (28800 sec/0 kb)
IKE info: tunnel between src: yyy.yyy.yyy.yyy dst: xxx.xxx.xxx.xxx

[VPN-Status] 2006/01/08 12:14:01,030
VPN: wait for IKE negotiation from LINUX (xxx.xxx.xxx.xxx)

[VPN-Status] 2006/01/08 12:14:06,560
IKE info: Delete Notification received for Phase-2 SA ipsec-14-LINUX-pr0-l0-r0peer LINUX spi [0xbddf3408]

[VPN-Status] 2006/01/08 12:14:06,560
IKE info: Phase-2 SA removed: peer LINUX rule ipsec-14-LINUX-pr0-l0-r0 removed
IKE info: containing Protocol IPSEC_ESP, with spis [bddf3408 ] [39566d95 ]

[VPN-Status] 2006/01/08 12:14:06,780
IKE info: Delete Notification received for Phase-1 SA isakmp-peer-LINUX peer LINUX cookies [e4eee76a37d9bd12 4e7f45309cd341f0]

[VPN-Status] 2006/01/08 12:14:06,780
IKE info: Phase-1 SA removed: peer LINUX rule LINUX removed

[VPN-Status] 2006/01/08 12:14:06,780
VPN: LINUX (xxx.xxx.xxx.xxx) disconnected

[VPN-Status] 2006/01/08 12:14:06,780
VPN: Disconnect info: remote-disconnected (0x4301) for LINUX (xxx.xxx.xxx.xxx)

backslash · Beitrag von **backslash** » 08 Jan 2006, 18:09

Hi ALuedtke

die IKE-Verhandlung läuft durch und es sollte eigentlich eine Datenübertragung möglich sein...

Hast du zufällig ein ICMP-Polling (unter Kommuniktation -> Gegenstellen -> Polling-Tabelle) für die Strecke eingerichtet und dort eine IP-Adresse eingetragen, die nicht erreicht werden kann?

Oder steht der Linux-Rechner vielleicht hinter einem Router, der kein IPSec-Passthrough beherrscht? Versuch mal NAT-T zu aktivieren (unter VPN -> Allgemein) und hoffe, daß OpenSWAN das auch unterstützt.

Gruß
Backslash

ALuedtke · Beitrag von **ALuedtke** » 08 Jan 2006, 20:28

Hallo Backslash,

vielen Dank für den Tip mit dem ICMP-Polling. Dort hatte ich die lokale Adresse des Openswan Routers eingetragen! Den Eintrag habe ich gelöscht und nun habe ich eine VPN Verbindung.

Dummerweise kann ich über diese Verbindung leider nichts machen: selbst ein Ping auf den Lancom klappt nicht, deshalb hat wohl auch das ICMP-Polling funktioniert. Ich habe schon die Firewall gecheckt aber ein "Trace + firewall" hat keine Blockierung gemeldet. Das muß wohl am Linux Router liegen. Hast Du hierfür vielleicht auch noch einen Tip?

Vielen Dank

Andreas

backslash · Beitrag von **backslash** » 09 Jan 2006, 19:10

Hi ALuedtke

Das muß wohl am Linux Router liegen. Hast Du hierfür vielleicht auch noch einen Tip?

wie gesagt:

Oder steht der Linux-Rechner vielleicht hinter einem Router, der kein IPSec-Passthrough beherrscht? Versuch mal NAT-T zu aktivieren (unter VPN -> Allgemein) und hoffe, daß OpenSWAN das auch unterstützt

Gruß
Backslash

ALuedtke · Beitrag von **ALuedtke** » 10 Jan 2006, 09:12

Hi Backslash,

der Linux Router ist der einzige Router an dem Ende der Verbindung. Aber ich werde die nächsten Tage mal NAT-T ausprobieren. Openswan unterstützt es zumindest.

Gruß

Andreas

ALuedtke · Beitrag von **ALuedtke** » 10 Jan 2006, 20:24

Hi Backslash,

ich habe jetzt Nat-T auf beiden Seiten eingestellt. Openswan sagt mir auch, das NATD=xxx.xxx.xxx.xxx:500 sei. Es kommt auch immer noch die VPN Verbindung zu stande aber es geht nach wie vor nichts durch den Tunnel.

Wenn ich mir die VPN Verbindungen im LANmonitor anschaue, dann steht bei dieser Verbindung unter "Nat-Erkennung" "Kein Nat". Komisch oder?

Hast Du evtl. noch einen Tip?

Andreas

backslash · Beitrag von **backslash** » 11 Jan 2006, 16:42

Hi ALuedtke

Wenn ich mir die VPN Verbindungen im LANmonitor anschaue, dann steht bei dieser Verbindung unter "Nat-Erkennung" "Kein Nat". Komisch oder?

Das bedeutet dann, daß es kein NAT zwischen beiden Endpunkten gibt, wodurch dann auch die ESP-Pakete nicht in UDP-Pakete eingepackt werden. Könnte es sein, daß zwischen euch noch eine Firewall steht, die ESP blockt? Diese kann ggf. auf dem Linux-Rechner selbst sein (Stichwort: Inbound-Filter).

Gruß
Backslash

ALuedtke · Beitrag von **ALuedtke** » 12 Jan 2006, 14:37

Hi backslash,

jetzt funktioniert die VPN Verbindung endlich! Es lag, wie Du schon vermutest hast, an der Linux Firewall. iptables lassen sich nicht so komfortabel konfigurieren wie eine LANCOM Firewall...

Dank an alle die zur Lösung beigetragen haben

Andreas