IPsec Gateway mit racoon

Tue, 12 Oct 2004 02:03:42 -0700 

Hallo, ich hab folgendes problem. ich versuche mit racoon ein ipsec-gateway 
einzurichten! �ber diese gateway m�chte ich in ein anderes netz zugreifen. der client 
ist ebenfalls eine linux kiste, allerdings l�uft dort fedora.

homenetz                        Racoongateway   
fedora :10.20.2.130 ------------------- Debian:eth0:10.20.2.111    
-------------------------------- Fremdnetz
                      Tunnel    eth1: 192.168.64.5                              
192.168.64.0

Es soll also ein tunnel von 10.20.2.130 zu 10.20.2.111 eingerichtet werden. IPforward 
sowie NAT sind aktiviert, da man vom homenet ja das fremdnetz erreichen m�chte. Auch 
der Tunnelaufbau klappt wunderbar, allerdings nur, wenn ich explizit einen Ping bzw. 
eine verbindung zwischen 10.20.2.130 und 10.20.2.111 aufbauen m�chte. 
Ein Ping zu 192.168.64.x l�uft allerdings komplett unverschl�sslet �ber die Leitung, 
ich m�chte aber logischerweise, dass dieser bis zum gateway durch den Tunnel l�uft.   



ipsec.conf f�r racoon gateway:



#config fuer 10.20.2.111

log debug2;
path pre_shared_key "/usr/local/etc/racoon/psk.txt";

remote 10.20.2.130 {
        exchange_mode main;
my_identifier address 10.20.2.111;
peers_identifier address 10.20.2.130; 

lifetime time 2 hours;
initial_contact off;
passive off;
proposal_check claim;

proposal {
                encryption_algorithm 3des;
                hash_algorithm md5;
                authentication_method pre_shared_key;
                dh_group modp1024 ;
        }
}

sainfo address 10.20.2.111 [any] any address 10.20.2.130 [any] any {
                pfs_group 2;
                encryption_algorithm 3des;
                authentication_algorithm hmac_md5;
                compression_algorithm deflate;
}

sainfo address 10.20.2.130 [any] any address 10.20.2.111 [any] any {
                pfs_group 2;
                encryption_algorithm 3des;
                authentication_algorithm hmac_md5;
                compression_algorithm deflate;
}



setkey.conf:

#setkey fuer 10.20.2.111

flush;
spdflush;

#       src             dest
spdadd 10.20.2.130 10.20.2.111 any -P in ipsec
esp/tunnel/10.20.2.130-10.20.2.111/require;

#       src             dest
spdadd 10.20.2.111 10.20.2.130 any -P out ipsec
esp/tunnel/10.20.2.111-10.20.2.130/require;



habe mich jetzt schon ne ganze weile durch google gew�hlt und leider nicht passendes 
gefunden. ich nehme einfach an, dass man in der racoon.conf nicht explizit die beiden 
10er adressen angeben darf, da racoon so nicht versteht, dass auch die pakete f�r das 
fremde netz bis zum gateway durch den tunnel m�sse, deshalb geht es dann 
unverschl�sselt �ber die leitung. leiter finde ich keine l�sung f�r dieses problem.
danke schonmal f�r eure hilfe. 
Nutze ich diese config sagen die logs folgendes. 

failed to get sainfo.
failed to get sainfo.
failed to pre-process packet.


mfg und danke 


benny stoll

Antwort per Email an