Re: Openswan-Cisco ASA volt: Vpnc, site-to-site

Wed, 25 Nov 2009 10:07:43 -0800 

2009. november 25. dátummal Gabor HALASZ ezt írta:
> > Merre induljak, mit állítsak vagy mit próbáljak a vpnc helyett?
>
> openswan, rosszabb esetben a kernelben levo ipsec.

Próbálkozom az openswan-el.

> Akkor kuglizd meg szepen a listaarchivumot, mar leirtam a
> varazslatot :) A speci implementacio mindossze abbol all, hogy a
> linuxos vpn-ek mas crypto beallitasokat hasznal defaultkent, mint a
> cisco:
>
> ps
>
> ike =
> aes128-sha-modp1536,aes128-sha-modp1024,aes128-md5-modp1536,aes128-
>md5-modp1024,3des-sha-modp1536,3des-sha-modp1024,3des-md5-modp1536,3
>des-md5-modp1024 esp = aes128-sha1,aes128-md5,3des-sha1,3des-md5

Próbálkoztam ezzel az ike és esp beállítással is, amit küldtél, de 
siker nélkül. Nem is értem, hogy ezt most példának szántad, vagy ezt 
kellene használnom. Inkább az előzőre tippelek...


Tulajdonképpen ezt a Cisco configot kellene implementálnom:
crypto isakmp policy 20
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key mykey address 1.2.3.4 no-xauth
...
crypto map XX_MAP 20 ipsec-isakmp
 set peer 1.2.3.4
 set transform-set ESP_3DES_HMAC
 set pfs group2


Ezzel az ESP_3DES_HMAC-al van a problémám, nem tudom mi felel meg 
neki. Ezeket próbáltam: 3des-md5-96,3des-sha1-96,3des-sha1-modp1024, 
de nem jöttek be.
Az 
ike=3des-sha1
hatására valami történik:

pluto[11574]: "p1" #32: initiating Main Mode
pluto[11574]: "p1" #32: ignoring Vendor ID payload [FRAGMENTATION 
c0000000]
pluto[11574]: "p1" #32: Can't authenticate: no preshared key found for 
`4.3.2.1' and `1.2.3.4'.  Attribute OAKLEY_AUTHENTICATION_METHOD
pluto[11574]: "p1" #32: no acceptable Oakley Transform
pluto[11574]: "p1" #32: sending notification NO_PROPOSAL_CHOSEN to 
1.2.3.4:500


Ezt meg azért nem értem, mert a /etc/ipsec.secrets tartalmazza ezt a 
sort:
4.3.2.1 1.2.3.4: PSK "jelszo"


Ez a jelenlegi config:
config setup
        nat_traversal=yes
        nhelpers=0
        interfaces=%defaultroute
        klipsdebug=all
        plutodebug=all

conn p1
        type=           tunnel
        auth=           esp
        authby=         secret
        leftid=         4.3.2.1
        left=           4.3.2.1
        leftnexthop=    4.3.2.2
        leftsubnet=     10.yy.xx.0/16
        rightid=        1.2.3.4
        right=          1.2.3.4
        rightsubnet=    10.zz.vv.0/24
        ike=            3des-sha1-modp1024
        esp=            3des-md5-96,3des-sha1-96,3des-sha1,3des-md5
        keyexchange=    ike
        pfs=            yes
        pfsgroup=       modp1024
        auto=           route
        forceencaps=    yes


Kérdéseim:
- A ciscos ESP_3DES_HMAC-nak mi az openswanes megfelelője?
- Mit bénázok el, hogy nem találja a psk-t? Lehet, hogy nem is a 
psk-val van a baja?


-- 
Sala
_________________________________________________
linux lista      -      [email protected]
http://mlf2.linux.rulez.org/mailman/listinfo/linux

válasz