OpenVPN

AllOnline · Aug 28, 2009

Hey,

bräuchte mal Hilfe bei der Erstellung eines VPN serveres.
maschiene: SuSe

Kapier das mit der Zertifikaten net ganz

also nur für mich noch mal:
1. yast -i openvpn
2. verschlüsselung auswählen
2.1 zertifkate erstellen
3. Server conf einstellen
4. client einrichten
5. fertig /verbinden

also hänge schon nach 1^^
könnte mir jemand bitte helfen.

Bei den meisten tuts wird auf openssh zurück gegriffen,
dies will ich aber garnicht

Danke im vor raus für hilfe.
Könnte später gerne auch ein tut fürs forum drauß machen

edit:

Habe per hand die config.conf unter etc/openvpn angelgt:

Code:

# Port
#port 443
 
# TCP oder UDP?
proto udp
 
# tun oder tap?
# Das tun Device erstellt einen IP Tunnel,
# während das tap Device einen Ethernet Tunnel erstellt.
dev tun
 
# Die ermittelte mtu für das tun Interface.
# Wir fügen die Optionen fragment und
# mssfix hinzu, um ein Aushandeln der
# Paketgroessen zu ermoeglichen
 
tun-mtu 1492
fragment 1300
mssfix
 
# Die Pfade zu den Keys und Zertifikaten.
# Ich kopiere die Pärchen später in das
# openvpn Verzeichnis, um Wirrwarr vorzubeugen.
#ca /usr/local/etc/openvpn/vpn-ca.pem
#cert /usr/local/etc/openvpn/servercert.pem
#key /usr/local/etc/openvpn/serverkey.pem
 
# der Pfad zu den Diffie-Hellmann Parametern.
# Auch diese werde ich später ins openvpn
# Verzeichnis kopieren.
#dh /usr/local/etc/openvpn/dh1024.pem
 
# Durch die Angabe von server veranlassen
# wir openvpn im Servermodus zu lauern.
# Hier übergeben wir auch den Adressbereich
# und die Netzwerkmaske für das virtuelle
# Netzwerk. Der Server wird automatisch
#auf der ersten IP lauschen - also 10.8.0.1
server 85.114.133.43 255.0.0.0
 
# Wir können einen Pool für die Virtuellen
# Adressen angeben. Falls ein Client die
# Verbindung beendet, bekommt er bei der
# nächsten Verbindung automatisch die selbe
# IP zugewiesen.
ifconfig-pool-persist ipp.txt
 
# Mit dem push Befehl können wir die
# Clients veranlassen ihre Routing Tabellen
# automatisch beim Verbindungsaufbau neu
# zu schreiben. Wir veranlassen also die Clients
# die Route in den Adressbereich
# 192.168.0.0 automatisch über vpn zu routen
push "route 85.114.*.* 255.255.255.0"
 
# Mit keepalive können wir uns
# informieren, ob die Gegenstelle noch
# erreichbar ist. Wir setzen alle 10 Sekunden
# ein ping ähnliches Paket ab und gehen
# davon aus, dass die Gegenstelle weg ist,
# wenn nach 120 Sekunden keine Antwort kommt.
keepalive 10 120
 
# Unsere Authentifizierungsmethode
#auth SHA1
 
# Unsere Verschlüsselungsmethode
#cipher AES-256-CBC
 
# Wir wollen komprimierten Datenverkehr
comp-lzo
 
# Wir reduzieren die Rechte, mit dem der
# Server läuft nach dem Verbindungsaufbau.
# Dies wird allerdings zur Folge haben, dass er keine Berechtigung mehr hat die
# Routing Tabelle in den ursprünglichen
# Zustand zu versetzen, was hier aber kein
# Problem darstellt.
user nobody
group nobody
 
# Die persist Optionen werden die Keys
# und Zertifikate im Speicher behalten,
# so dass sie auch noch gelesen werden
# können nachdem Gruppe und User
# gewechselt wurden.
persist-key
persist-tun
 
# Für unsere Versuche setzen wir die Geschwätzigkeit
# auf Level 3
verb 3

mit openvpn config.conf kommt folgende fehlermeldung:

Code:

openvpn config.conf
Options error: You must define DH file (--dh)

Wie mach ich das den passend damit sich viele windows egal ob 2000/XP/Vista einloggen?
ambesten ohne extra client, nur mit windows client

Ben. · Aug 28, 2009

Vielleicht hilft dir das weiter: http://serverzeit.de/FreeBSD/openvpn/

Ist zwar für FreeBSD, aber die Konfiguration ist die gleiche. Ob und wie du da den Windows-Client nutzen kannst kann ich dir nicht sagen. Bin mir nicht sicher ob du openVPN überhaupt mit dem Windows-Client nutzen kannst, da das m.E. ne andere Technologie ist allerdings kann ich mich irren.

Viel Erfolg.

CentY · Aug 28, 2009

Mit Windows kann man sich eigentlich nur mit dem OpenVPN Client bei OpenVPN anmelden. Ansonst musst du nen IPSec Tunnel machen.

AllOnline · Aug 28, 2009

also mit win soll es irgend wie gehen,
aber hänge noch beim server

Code:

Fri Aug 28 15:18:03 2009 OpenVPN 2.0.9 i586-suse-linux [SSL] [LZO] [EPOLL] built on Jun 7 2008
Fri Aug 28 15:18:03 2009 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Fri Aug 28 15:18:03 2009 Cannot open /usr/local/etc/openvpn/dh1024.pem for DH parameters: error:02001002:system library:fopen:No such file or directory: error:2006D080:BIO routines:BIO_new_file:no such file
Fri Aug 28 15:18:03 2009 Exiting

mit der conf:

Code:

proto udp
 
#dev tun
dev tap
 
#client-to-client 
 
tun-mtu 1492
fragment 1300
mssfix
 
ca /usr/local/etc/openvpn/vpn-ca.pem
cert /usr/local/etc/openvpn/servercert.pem
key /usr/local/etc/openvpn/serverkey.pem
 
dh /usr/local/etc/openvpn/dh1024.pem
 
server 192.168.0.0 255.255.255.0
ifconfig 192.168.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
 
push "route 192.168.0.0 255.255.255.0"
keepalive 10 120
 
auth SHA1
 
#cipher AES-256-CBC
 
comp-lzo
 
user nobody
group nobody
 
persist-key
persist-tun
 
verb 3

Ben. · Aug 28, 2009

Ben. said:
(...) Ist zwar für FreeBSD (...)

Die Pfade musst du natürlich anpassen, um auf die von dir erstellten Zertifikate etc. zu verweisen.

Denken, dann handeln

AllOnline · Aug 28, 2009

1 wie kann ich den ein vpn aufbauen das auch von windows genutzt werden kann
2. warum muss ich mit openssh nen zertifikat erstellen?
geht das net auch anders?

Ben. · Aug 28, 2009

1. Die Suchkriterien für eine erfolgreiche Eigenrecherche wurden dir genannt.
2. Was macht denn VPN? Warum könnte man nun Zertifikate benötigen? Siehe http://de.wikipedia.org/wiki/Virtual_Private_Network

AllOnline · Aug 28, 2009

Klar das es wieder welche gibt die nur motzen!
ein no comment in deinem kopf würde reichen

so nun
1. nein wurde es nicht oder siehst du dort einen link zu linux root suse mit windows client vpn
2. Wozu man ein Zertifikat braucht ist mir klar aber
erstens gibt es möglichkeiten nur duch benutzer und kennwort eingabe und zweitens warum über openssh??

Also noch mal
-hätte jemand ein tut zum vpn server einrichten unter suse für windwos clients ohne extra client zu installieren also mit windows board mitteln

Ben. · Aug 28, 2009

AllOnline said:
Klar das es wieder welche gibt die nur motzen!
ein no comment in deinem kopf würde reichen

Gehts noch? Ich hab dir mehr als einen Link gepostet, der dir weiter hilft. Sieht das nach Motzen aus?

Viel Erfolg weiterhin.

Thorsten · Aug 28, 2009

Hallo Ben.,
AllOnline hat offenbar den Grundgedanken des Server Support Forum (Hilfe zur Selbsthilfe) nicht verstanden. Es gibt halt Menschen, die Informationen möglichst vorverdaut benötigen.

Hätte AllOnline mehr Geduld bewiesen, wären ihm wahrscheinlich Dokumente wie http://www-uxsup.csx.cam.ac.uk/pub/doc/suse/sles9/adminguide-sles9/ch26s02.html auf den Schirm gekommen.

mfG
Thorsten

Ben. · Aug 28, 2009

Sehe ich auch so. Schönen Abend, Thorsten!

AllOnline · Aug 30, 2009

Hallo,

bin auf grund des andren Threads auf openswan umgestiegen weshalb der titel leider nicht mehr passt und da ich nicht ewig neue threads aufmachen möchte bitte ich euch nochmal mir zuhelfen;

ich habe also openswan mit ipsec installiert und probiere es gerade aus

bekomme aber diese fehlermeldung:

Code:

 ipsec auto --up L2TP-PSK-noNAT
029 "L2TP-PSK-noNAT": cannot initiate connection without knowing peer IP address (kind=CK_TEMPLATE)

die conf sieht momentan so aus:

Code:

# /etc/ipsec.conf - Openswan IPsec configuration file
# RCSID $Id: ipsec.conf.in,v 1.15.2.6 2006/10/19 03:49:46 paul Exp $
 
# This file: /usr/share/doc/packages/openswan/ipsec.conf-sample
#
# Manual: ipsec.conf.5
 
 
version    2.0    # conforms to second version of ipsec.conf specification
 
# basic configuration
config setup
    plutodebug = "all"
    # plutodebug / klipsdebug = "all", "none" or a combation from below:
    # "raw crypt parsing emitting control klips pfkey natt x509 private"
    # eg: plutodebug="control parsing"
    #
    # ONLY enable plutodebug=all or klipsdebug=all if you are a developer !!
    #
    # NAT-TRAVERSAL support, see README.NAT-Traversal
    nat_traversal=yes
     virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
    #
    # Certificate Revocation List handling:
    #crlcheckinterval=600
    #strictcrlpolicy=yes
    #
    # Change rp_filter setting? (default is 0, disabled)
    # See also setting in the /etc/sysctl.conf file!
    #rp_filter=%unchanged
    #
    # Workaround to setup all tunnels immediately, since the new default
    # of "plutowait=no" causes "Resource temporarily unavailable" errors
    # for the first connect attempt over each tunnel, that is delayed to
    # be established later / on demand.
    # With "plutowait=yes" plutio waits for each negotiation attempt
    # that is part of startup to finish, before proceeding with the next.
    plutowait=yes
    #
    # enable this if you see "failed to find any available worker"
    #nhelpers=0
 
    # default settings for connections
conn %default
    # keyingtries default to %forever
    #keyingtries=3
    # Sig keys (default: %dnsondemand)
    #leftrsasigkey=%cert #
    #rightrsasigkey=%cert #
    # Lifetimes, defaults are 1h/8hrs
    #ikelifetime=20m
    #keylife=1h
    #rekeymargin=8m
 
    #Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf
 
    # For sample VPN connections, see /etc/ipsec.d/examples/
    # Add connections here
 
conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
    also=L2TP-PSK-noNAT
 
conn L2TP-PSK-noNAT
    #
    # Configuration for one user with any type of IPsec/L2TP client
    # including the updated Windows 2000/XP (MS KB Q818043), but
    # excluding the non-updated Windows 2000/XP.
    #
    #
    # Use a Preshared Key. Disable Perfect Forward Secrecy.
    #
    # PreSharedSecret needs to be specified in /etc/ipsec.secrets as
    # YourIPAddress %any: "sharedsecret"
    authby=secret
    pfs=no
    auto=add
    keyingtries=3
    # we cannot rekey for %any, let client rekey
    rekey=no
    type=transport
    #
left=%defaultroute
# or you can use: left=YourIPAddress
    #
    # For updated Windows 2000/XP clients,
    # to support old clients as well, use leftprotoport=17/%any
    leftprotoport=17/1701
    #
    # The remote user.
    #
    right=%any
    rightprotoport=17/1701

CentY · Aug 30, 2009

Steht in der /var/log/messages oder /var/log/secure noch was näheres zu dem Fehler?

Vielleicht hilft dir ja das:
https://debianforum.de/forum/viewtopic.php?f=30&t=31409&start=0#p185567

AllOnline · Aug 30, 2009

Habe die conf neu angelegt und eingelesen nun sieht es so aus:

ipsec.conf

Code:

# /etc/ipsec.conf - Openswan IPsec configuration file
# RCSID $Id: ipsec.conf.in,v 1.15.2.6 2006/10/19 03:49:46 paul Exp $
 
# This file: /usr/share/doc/packages/openswan/ipsec.conf-sample
#
# Manual: ipsec.conf.5
 
 
version 2.0 # conforms to second version of ipsec.conf specification
 
# basic configuration
config setup
plutodebug="all"
klipsdebug=all
uniqueids=yes
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
 
# Certificate Revocation List handling:
#crlcheckinterval=600
#strictcrlpolicy=yes
 
# Change rp_filter setting? (default is 0, disabled)
# See also setting in the /etc/sysctl.conf file!
#rp_filter=%unchanged
 
# Workaround to setup all tunnels immediately, since the new default
# of "plutowait=no" causes "Resource temporarily unavailable" errors
# for the first connect attempt over each tunnel, that is delayed to
# be established later / on demand.
# With "plutowait=yes" plutio waits for each negotiation attempt
# that is part of startup to finish, before proceeding with the next.
plutowait=yes
#
# enable this if you see "failed to find any available worker"
#nhelpers=0
 
# default settings for connections
conn %default
left=%defaultroute
# keyingtries default to %forever
#keyingtries=3
# Sig keys (default: %dnsondemand)
#leftrsasigkey=%cert
#rightrsasigkey=%cert
# Lifetimes, defaults are 1h/8hrs
#ikelifetime=20m
#keylife=1h
#rekeymargin=8m
 
#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf
 
# For sample VPN connections, see /etc/ipsec.d/examples/
# Add connections here
 
conn win
authby=secret
pfs=no
auto=add
rekey=no
left=%defaultroute
leftprotoport=17/0
right=%any
rightprotoport=17/1701
rightsubnet=vhost:%priv,%no

ipsec.secrets

Code:

#
# Sample /etc/ipsec.secrets file
# The Openswan server has an IP address of 85.114.*.43#
 
85.114.*.43 %any: PSK "test"
85.114.*.43 : PSK "test" [/quote]
 
barf spuckt folgedes aus:
[quote]ipsec_setup: Starting Openswan IPsec 2.4.7...
[17266]: Changing to directory '/etc/ipsec.d/cacerts'
[17266]: Could not change to directory '/etc/ipsec.d/aacerts'
[17266]: Could not change to directory '/etc/ipsec.d/ocspcerts'
[17266]: Changing to directory '/etc/ipsec.d/crls'
[17266]: Warning: empty directory
[17266]: loading secrets from "/etc/ipsec.secrets"
[17266]: added connection description "win"
[17266]: listening for IKE messages
[17266]: adding interface eth0/eth0 85.114.*.43:500
[17266]: adding interface eth0/eth0 85.114.*.43:4500
[17266]: adding interface lo/lo 127.0.0.2:500
[17266]: adding interface lo/lo 127.0.0.2:4500
[17266]: adding interface lo/lo 127.0.0.1:500
[17266]: adding interface lo/lo 127.0.0.1:4500
[17266]: adding interface lo/lo ::1:500
[17266]: forgetting secrets
[17266]: loading secrets from "/etc/ipsec.secrets"
[17266]: attempt to redefine connection "win"
[17266]: packet from 217.232.27.155:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000004]
[17266]: packet from 217.232.27.155:500: ignoring Vendor ID payload [FRAGMENTATION]
[17266]: packet from 217.232.27.155:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] method set to=106
[17266]: packet from 217.232.27.155:500: ignoring Vendor ID payload [Vid-Initial-Contact]
[17266]: "win"[1] 217.232.27.155 #1: responding to Main Mode from unknown peer 217.232.27.155
[17266]: "win"[1] 217.232.27.155 #1: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1
[17266]: "win"[1] 217.232.27.155 #1: STATE_MAIN_R1: sent MR1, expecting MI2
[17266]: "win"[1] 217.232.27.155 #1: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: peer is NATed
[17266]: "win"[1] 217.232.27.155 #1: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
[17266]: "win"[1] 217.232.27.155 #1: STATE_MAIN_R2: sent MR2, expecting MI3
[17266]: "win"[1] 217.232.27.155 #1: Main mode peer ID is ID_FQDN: '@c17'
[17266]: "win"[1] 217.232.27.155 #1: switched from "win" to "win"
[17266]: "win"[2] 217.232.27.155 #1: deleting connection "win" instance with peer 217.232.27.155 {isakmp=#0/ipsec=#0}
[17266]: "win"[2] 217.232.27.155 #1: I did not send a certificate because I do not have one.
[17266]: "win"[2] 217.232.27.155 #1: transition from state STATE_MAIN_R2 to state STATE_MAIN_R3
[17266]: | NAT-T: new mapping 217.232.27.155:500/4500)
[17266]: "win"[2] 217.232.27.155 #1: STATE_MAIN_R3: sent MR3, ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=oakley_3des_cbc_192 prf=oakley_sha group=modp2048}
[17266]: "win"[2] 217.232.27.155 #2: responding to Quick Mode {msgid:f1c03a90}
[17266]: "win"[2] 217.232.27.155 #2: transition from state STATE_QUICK_R0 to state STATE_QUICK_R1
[17266]: "win"[2] 217.232.27.155 #2: STATE_QUICK_R1: sent QR1, inbound IPsec SA installed, expecting QI2
[17266]: "win"[2] 217.232.27.155 #2: transition from state STATE_QUICK_R1 to state STATE_QUICK_R2
[17266]: "win"[2] 217.232.27.155 #2: STATE_QUICK_R2: IPsec SA established {ESP=>0xa09d945b <0x37322689 xfrm=3DES_0-HMAC_MD5 NATD=217.232.27.155:4500 DPD=none}
[17266]: "win"[2] 217.232.27.155 #1: received Delete SA(0xa09d945b) payload: deleting IPSEC State #2
[17266]: "win"[2] 217.232.27.155 #1: received and ignored informational message
[17266]: "win"[2] 217.232.27.155 #1: received Delete SA payload: deleting ISAKMP State #1
[17266]: "win"[2] 217.232.27.155: deleting connection "win" instance with peer 217.232.27.155 {isakmp=#0/ipsec=#0}
[17266]: packet from 217.232.27.155:4500: received and ignored informational message
[17266]: packet from 217.232.27.155:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000004]
[17266]: packet from 217.232.27.155:500: ignoring Vendor ID payload [FRAGMENTATION]
[17266]: packet from 217.232.27.155:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] method set to=106
[17266]: packet from 217.232.27.155:500: ignoring Vendor ID payload [Vid-Initial-Contact]
[17266]: "win"[3] 217.232.27.155 #3: responding to Main Mode from unknown peer 217.232.27.155
[17266]: "win"[3] 217.232.27.155 #3: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1
[17266]: "win"[3] 217.232.27.155 #3: STATE_MAIN_R1: sent MR1, expecting MI2
[17266]: "win"[3] 217.232.27.155 #3: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: peer is NATed
[17266]: "win"[3] 217.232.27.155 #3: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
[17266]: "win"[3] 217.232.27.155 #3: STATE_MAIN_R2: sent MR2, expecting MI3
[17266]: "win"[3] 217.232.27.155 #3: Main mode peer ID is ID_FQDN: '@c17'
[17266]: "win"[3] 217.232.27.155 #3: switched from "win" to "win"
[17266]: "win"[4] 217.232.27.155 #3: deleting connection "win" instance with peer 217.232.27.155 {isakmp=#0/ipsec=#0}
[17266]: "win"[4] 217.232.27.155 #3: I did not send a certificate because I do not have one.
[17266]: "win"[4] 217.232.27.155 #3: transition from state STATE_MAIN_R2 to state STATE_MAIN_R3
[17266]: | NAT-T: new mapping 217.232.27.155:500/4500)
[17266]: "win"[4] 217.232.27.155 #3: STATE_MAIN_R3: sent MR3, ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=oakley_3des_cbc_192 prf=oakley_sha group=modp2048}
[17266]: "win"[4] 217.232.27.155 #4: responding to Quick Mode {msgid:5c2b80e8}
[17266]: "win"[4] 217.232.27.155 #4: transition from state STATE_QUICK_R0 to state STATE_QUICK_R1
[17266]: "win"[4] 217.232.27.155 #4: STATE_QUICK_R1: sent QR1, inbound IPsec SA installed, expecting QI2
[17266]: "win"[4] 217.232.27.155 #4: transition from state STATE_QUICK_R1 to state STATE_QUICK_R2
[17266]: "win"[4] 217.232.27.155 #4: STATE_QUICK_R2: IPsec SA established {ESP=>0xebf9586e <0x41325766 xfrm=3DES_0-HMAC_MD5 NATD=217.232.27.155:4500 DPD=none}
[17266]: "win"[4] 217.232.27.155 #3: received Delete SA(0xebf9586e) payload: deleting IPSEC State #4
[17266]: "win"[4] 217.232.27.155 #3: received and ignored informational message
[17266]: "win"[4] 217.232.27.155 #3: received Delete SA payload: deleting ISAKMP State #3
[17266]: "win"[4] 217.232.27.155: deleting connection "win" instance with peer 217.232.27.155 {isakmp=#0/ipsec=#0}
[17266]: packet from 217.232.27.155:4500: received and ignored informational message
[17266]: attempt to redefine connection "win"
+ _________________________ plog
+ sed -n '11106,$p' /var/log/messages
+ egrep -i pluto
+ case "$1" in
+ cat
ipsec__plutorun: Starting Pluto subsystem...
ipsec__plutorun: Unknown default RSA hostkey scheme, not generating a default hostkey
[17266]: Starting Pluto (Openswan Version 2.4.7 PLUTO_SENDS_VENDORID PLUTO_USES_KEYRR; Vendor ID OEZ~BaB]r\134p_)
[17266]: Setting NAT-Traversal port-4500 floating to on
[17266]: port floating activation criteria nat_t=1/port_fload=1
[17266]: including NAT-Traversal patch (Version 0.6c)
[17266]: ike_alg_register_enc(): Activating OAKLEY_AES_CBC: Ok (ret=0)
[17266]: starting up 1 cryptographic helpers
[17266]: started helper pid=17269 (fd:6)
[17266]: Using NETKEY IPsec interface code on 2.6.25.5-1.1-pae
[17266]: Changing to directory '/etc/ipsec.d/cacerts'
[17266]: Could not change to directory '/etc/ipsec.d/aacerts'
[17266]: Could not change to directory '/etc/ipsec.d/ocspcerts'
[17266]: Changing to directory '/etc/ipsec.d/crls'
[17266]: Warning: empty directory
[17266]: loading secrets from "/etc/ipsec.secrets"
[17266]: added connection description "win"
[17266]: listening for IKE messages
[17266]: adding interface eth0/eth0 85.114.*.43:500
[17266]: adding interface eth0/eth0 85.114.*.43:4500
[17266]: adding interface lo/lo 127.0.0.2:500
[17266]: adding interface lo/lo 127.0.0.2:4500
[17266]: adding interface lo/lo 127.0.0.1:500
[17266]: adding interface lo/lo 127.0.0.1:4500
[17266]: adding interface lo/lo ::1:500
[17266]: forgetting secrets
[17266]: loading secrets from "/etc/ipsec.secrets"
[17266]: attempt to redefine connection "win"
[17266]: packet from 217.232.27.155:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000004]
[17266]: packet from 217.232.27.155:500: ignoring Vendor ID payload [FRAGMENTATION]
[17266]: packet from 217.232.27.155:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] method set to=106
[17266]: packet from 217.232.27.155:500: ignoring Vendor ID payload [Vid-Initial-Contact]
[17266]: "win"[1] 217.232.27.155 #1: responding to Main Mode from unknown peer 217.232.27.155
[17266]: "win"[1] 217.232.27.155 #1: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1
[17266]: "win"[1] 217.232.27.155 #1: STATE_MAIN_R1: sent MR1, expecting MI2
[17266]: "win"[1] 217.232.27.155 #1: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: peer is NATed
[17266]: "win"[1] 217.232.27.155 #1: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
[17266]: "win"[1] 217.232.27.155 #1: STATE_MAIN_R2: sent MR2, expecting MI3
[17266]: "win"[1] 217.232.27.155 #1: Main mode peer ID is ID_FQDN: '@c17'
[17266]: "win"[1] 217.232.27.155 #1: switched from "win" to "win"
[17266]: "win"[2] 217.232.27.155 #1: deleting connection "win" instance with peer 217.232.27.155 {isakmp=#0/ipsec=#0}
[17266]: "win"[2] 217.232.27.155 #1: I did not send a certificate because I do not have one.
[17266]: "win"[2] 217.232.27.155 #1: transition from state STATE_MAIN_R2 to state STATE_MAIN_R3
[17266]: | NAT-T: new mapping 217.232.27.155:500/4500)
[17266]: "win"[2] 217.232.27.155 #1: STATE_MAIN_R3: sent MR3, ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=oakley_3des_cbc_192 prf=oakley_sha group=modp2048}
[17266]: "win"[2] 217.232.27.155 #2: responding to Quick Mode {msgid:f1c03a90}
[17266]: "win"[2] 217.232.27.155 #2: transition from state STATE_QUICK_R0 to state STATE_QUICK_R1
[17266]: "win"[2] 217.232.27.155 #2: STATE_QUICK_R1: sent QR1, inbound IPsec SA installed, expecting QI2
[17266]: "win"[2] 217.232.27.155 #2: transition from state STATE_QUICK_R1 to state STATE_QUICK_R2
[17266]: "win"[2] 217.232.27.155 #2: STATE_QUICK_R2: IPsec SA established {ESP=>0xa09d945b <0x37322689 xfrm=3DES_0-HMAC_MD5 NATD=217.232.27.155:4500 DPD=none}
[17266]: "win"[2] 217.232.27.155 #1: received Delete SA(0xa09d945b) payload: deleting IPSEC State #2
[17266]: "win"[2] 217.232.27.155 #1: received and ignored informational message
[17266]: "win"[2] 217.232.27.155 #1: received Delete SA payload: deleting ISAKMP State #1
[17266]: "win"[2] 217.232.27.155: deleting connection "win" instance with peer 217.232.27.155 {isakmp=#0/ipsec=#0}
[17266]: packet from 217.232.27.155:4500: received and ignored informational message
[17266]: packet from 217.232.27.155:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000004]
[17266]: packet from 217.232.27.155:500: ignoring Vendor ID payload [FRAGMENTATION]
[17266]: packet from 217.232.27.155:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] method set to=106
[17266]: packet from 217.232.27.155:500: ignoring Vendor ID payload [Vid-Initial-Contact]
[17266]: "win"[3] 217.232.27.155 #3: responding to Main Mode from unknown peer 217.232.27.155
[17266]: "win"[3] 217.232.27.155 #3: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1
[17266]: "win"[3] 217.232.27.155 #3: STATE_MAIN_R1: sent MR1, expecting MI2
[17266]: "win"[3] 217.232.27.155 #3: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: peer is NATed
[17266]: "win"[3] 217.232.27.155 #3: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
[17266]: "win"[3] 217.232.27.155 #3: STATE_MAIN_R2: sent MR2, expecting MI3
[17266]: "win"[3] 217.232.27.155 #3: Main mode peer ID is ID_FQDN: '@c17'
[17266]: "win"[3] 217.232.27.155 #3: switched from "win" to "win"
[17266]: "win"[4] 217.232.27.155 #3: deleting connection "win" instance with peer 217.232.27.155 {isakmp=#0/ipsec=#0}
[17266]: "win"[4] 217.232.27.155 #3: I did not send a certificate because I do not have one.
[17266]: "win"[4] 217.232.27.155 #3: transition from state STATE_MAIN_R2 to state STATE_MAIN_R3
[17266]: | NAT-T: new mapping 217.232.27.155:500/4500)
[17266]: "win"[4] 217.232.27.155 #3: STATE_MAIN_R3: sent MR3, ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=oakley_3des_cbc_192 prf=oakley_sha group=modp2048}
[17266]: "win"[4] 217.232.27.155 #4: responding to Quick Mode {msgid:5c2b80e8}
[17266]: "win"[4] 217.232.27.155 #4: transition from state STATE_QUICK_R0 to state STATE_QUICK_R1
[17266]: "win"[4] 217.232.27.155 #4: STATE_QUICK_R1: sent QR1, inbound IPsec SA installed, expecting QI2
[17266]: "win"[4] 217.232.27.155 #4: transition from state STATE_QUICK_R1 to state STATE_QUICK_R2
[17266]: "win"[4] 217.232.27.155 #4: STATE_QUICK_R2: IPsec SA established {ESP=>0xebf9586e <0x41325766 xfrm=3DES_0-HMAC_MD5 NATD=217.232.27.155:4500 DPD=none}
[17266]: "win"[4] 217.232.27.155 #3: received Delete SA(0xebf9586e) payload: deleting IPSEC State #4
[17266]: "win"[4] 217.232.27.155 #3: received and ignored informational message
[17266]: "win"[4] 217.232.27.155 #3: received Delete SA payload: deleting ISAKMP State #3
[17266]: "win"[4] 217.232.27.155: deleting connection "win" instance with peer 217.232.27.155 {isakmp=#0/ipsec=#0}
[17266]: packet from 217.232.27.155:4500: received and ignored informational message
[17266]: attempt to redefine connection "win"

Danke für deine Bemühung.

Was müsste ich den so bei zB winXP einstellen?!
Momentan username leer und pw test
host = ip
Sicherheitsoptionen Typisch sicheres Kennwort ist erforderlich
ipsec Einstellungen vorinstallierter schlüssel test

Aufeinmal steht mit gleicher conf wieder:

Code:

win": cannot initiate connection without knowing peer IP address (kind=CK_TEMPLATE)

AllOnline · Aug 31, 2009

mal noch nen etwas anderer log:

Code:

ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000004]
ignoring Vendor ID payload [FRAGMENTATION]
received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] method set to=106
ignoring Vendor ID payload [Vid-Initial-Contact]
initial Main Mode message received on 85.114.133.43:500 but no connection has been authorized

FRAGE: Was sagt mir das, wie behebe ich die Fehler?

marneus · Aug 31, 2009

Ich habe jetzt alle Deine Beiträge editiert. Grund: Du hast immer die Zitat-Tags (quote) genutzt, anstatt die - für Log- und Scriptauszüge - vorgesehene Code-Tags (code). Ersteres lässt Deine Postings auf kilometerlänge explodieren. Das ist sehr unangenehm beim Lesen des Threads.

Bitte zukünftig beachten!

--marneus

AllOnline · Aug 31, 2009

Danke,

kann denn einer was mit den logs anfangen!?!

Thorsten · Aug 31, 2009

Hallo!
Schon mal Google probiert? Ein wenig Eigeninitiative wäre wirklich angebracht.

mfG
Thorsten

AllOnline · Aug 31, 2009

JA hab ich,
deswegen komm ich ja weiter

aber ein subnet kann ich nicht einrichten da es mit win nicht geht und psk

also;
Windowsclient meldet sich mit boardmitteln an den SuSe VPN-Server an?!

Thorsten · Aug 31, 2009

Hallo!
Nutze bitte eine Suchmmaschine deiner Wahl. Bei konkreten Fragen kannst du diese gern hier zur Diskussion stellen. Alles andere endet aber in einem heillosen Durcheinander.

mfG
Thorsten

OpenVPN

New Member

Registered User

Registered User

New Member

Registered User

New Member

Registered User

New Member

Registered User

SSF Facilitymanagement

Registered User

New Member

Registered User

New Member

New Member

Registered User

New Member

SSF Facilitymanagement

New Member

SSF Facilitymanagement

We value your privacy