2009. november 26. dátummal Gabor HALASZ ezt írta:
> Tevedtel. Ez mukodo konfigbol, a masik vegen cisco concentrator
> van, nem keves tanakodas volt osszehozni, de eddig minden
> koncentratornal bevalt.
Most visszamásoltam az általad írt két sor (ike, esp). Itt az eredmény
(ua. mint a tegnapi):
pluto[11574]: "p1" #36: initiating Main Mode
pluto[11574]: "p1" #36: ignoring Vendor ID payload [FRAGMENTATION
c0000000]
pluto[11574]: "p1" #36: Can't authenticate: no preshared key found for
`4.3.2.1' and `1.2.3.4'. Attribute OAKLEY_AUTHENTICATION_METHOD
pluto[11574]: "p1" #36: no acceptable Oakley Transform
pluto[11574]: "p1" #36: sending notification NO_PROPOSAL_CHOSEN to
1.2.3.4:500
> > Ezzel az ESP_3DES_HMAC-al van a problémám, nem tudom mi felel meg
> > neki. Ezeket próbáltam:
> > 3des-md5-96,3des-sha1-96,3des-sha1-modp1024, de nem jöttek be.
> > Az
> > ike=3des-sha1
> > hatására valami történik:
>
> Ha egysze esp, akkor miert az ike-t nezed? Es ha 3des-hmac, akkor
> miert 3des-sha1-el probalkozol?
Próbálkoztam, nem jött össze. A vpnc meg ilyet írt:
IKE SA selected psk-3des-sha1
Ezért kezdtem el ezzel próbálkozni.
> > pluto[11574]: "p1" #32: initiating Main Mode
> > pluto[11574]: "p1" #32: ignoring Vendor ID payload [FRAGMENTATION
> > c0000000]
>
> Nem nat-olsz te veletlenul?
Nem.
> > - A ciscos ESP_3DES_HMAC-nak mi az openswanes megfelelője?
>
> esp=3des-hmac
Ezt én is próbáltam. Erre a válasz:
034 esp string error: hash_alg not found, enc_alg="3des",
auth_alg="hmac", modp=""
A man ipsec_spi szerint az AH-nál lehetnek ilyenek:
hmac-md5-96, hmac-sha1-96
Ezeknél eléggé elbizonytalanított az md5 és az sha1.
Ugyanebben a man-ban ez is olvasható:
3des-md5-96
encryption transform following the Triple-DES standard
in Cipher-Block-Chaining mode with au-
thentication provided by HMAC and MD5 (96-bit
authenticator), using a 64-bit iv (internally gen-
erated), a 192-bit 3DES ekey and a 128-bit HMAC-MD5 akey
(RFC2451, RFC2403)
és ugyanez a 3des-sha1-96-re.
Ezeket is próbáltam az esp-nél, siker nélkül.
> > - Mit bénázok el, hogy nem találja a psk-t? Lehet, hogy nem is a
> > psk-val van a baja?
>
> Elkepzelheto, ranezesre jo, klipsdebug=yes es plutodebug=yes
> mindenkeppen kellene a config setup-ba.
klipsdebug=all és plutodebug=all volt eddig is. Átírtam yes-re, de
semmi nem változott.
Amúgy én is keveseltem a logot, de az auth.log-on kívül máshol nem
találtam, abban meg ennyi van. Logol máshová is, csak nem látom?
Ha aggrmode=yes van a konfigban, akkor bőbeszédűbb
(ike=3des-sha1-modp1024 és esp=3des-sha1 kezdetekkel, mögöttük az
általad javasolt értékekkel):
pluto[11574]: "p1" #38: multiple transforms were set in aggressive
mode. Only first one used.
pluto[11574]: "p1" #38: transform (7,2,5,128) ignored.
pluto[11574]: "p1" #38: transform (7,2,2,128) ignored.
pluto[11574]: "p1" #38: transform (7,1,5,128) ignored.
pluto[11574]: "p1" #38: transform (7,1,2,128) ignored.
pluto[11574]: "p1" #38: transform (5,2,5,0) ignored.
pluto[11574]: "p1" #38: transform (5,1,5,0) ignored.
pluto[11574]: "p1" #38: transform (5,1,2,0) ignored.
pluto[11574]: "p1" #38: received Vendor ID payload [Cisco-Unity]
pluto[11574]: "p1" #38: received Vendor ID payload [XAUTH]
pluto[11574]: "p1" #38: received Vendor ID payload [Dead Peer
Detection]
pluto[11574]: "p1" #38: ignoring Vendor ID payload [FRAGMENTATION
c0000000]
pluto[11574]: "p1" #38: ignoring Vendor ID payload [Cisco VPN 3000
Series]pluto[11574]: "p1" #38: Aggressive mode peer ID is
ID_IPV4_ADDR: '1.2.3.4'
pluto[11574]: "p1" #38: Can't authenticate: no preshared key found for
`4.3.2.1' and `12.3.4'. Attribute OAKLEY_AUTHENTICATION_METHOD
pluto[11574]: "p1" #38: no acceptable Oakley Transform
pluto[11574]: "p1" #38: sending notification NO_PROPOSAL_CHOSEN to
1.2.3.4:500
Ha kiveszem az ike és az esp elejéről a 3des-sha1-eket, akkor a Vendor
ID sorok eltűnnek a logból.
Úgyhogy már kezdem nagyon nem érteni a dolgot...
--
Sala
_________________________________________________
linux lista - [email protected]
http://mlf2.linux.rulez.org/mailman/listinfo/linux
