StrongSwan-Server

I

irobot

New Member
Hallo,

ich habe ein Problem mit meiner Stronswan-Installation auf einem openSuSE 11.4 - Server. Es besteht darin, dass ich einen Tunnel zu einem FreeSWAN-Client mit fester IP-Adresse (ein älteres SuSE-Linux-System) aufbauen möchte. Mit einem FreeSWAN-Server klappt alles prima, aber nicht mit StrongSWAN.

Nach einiger Konfigurationsarbeit wird der VPN-Tunnel auf der FreeSWAN-Seite aufgebaut (... ISAKMP established!), aber mir gelingt es
nicht, irgend etwas durch den Tunnel zu schicken.

Ist die Kombination StrongSWAN-Server/FreeSWAN-Client überhaupt möglich?

Bin für jede Hilfe dankbar.

P.S.
Diesen Beitrag könnt Ihr auch im SuSE-Forum verfolgen.

Viele Grüße
IRobot
 
Last edited by a moderator:
Erläuterung

Zur genaueren Erläuterung hier eine Skizze:


..........SUN.............................EARTH..............

10.0.0.0/24==1.2.3.4--1.2.3.5...2.3.4.6--2.3.4.5==10.30.2.0/24

....STRONGSWAN.........................FREEWSWAN..........



Sämtliche Firewalls sind für die Testphase abgeschaltet.
Die private IP des Gateways EARTH ist 10.30.2.1.

SUN (StrongSWAN)
Code: 
/etc/ipsec.conf

config setup
  nat_traversal=no
  interfaces="ipsec0=eth1"
  klipsdebug=all
  plutodebug=all
  plutostart=yes
  charonstart=no

conn %default
  auto=route
  authby=rsasig
  left=1.2.3.4
  leftnexthop=1.2.3.5
  leftsubnet=10.0.0.0/8
  leftcert=gatewayCert.pem
  type=tunnel
  leftid="C=DE, ..."
  keyingtries=0
  keyexchange=ikev1

conn EARTH
  rightid="C=DE, ..."
  leftsubnet=10.0.0.0/8
  compress=yes
  right=%any
  rightsubnet=10.30.2.0/24
  auto=add

EARTH (FreeSWAN)
Code: 
/etc/ipsec.conf

config setup
  interfaces=%defaultroute
  klipsdebug=none
  plutodebug=none
  plutoload=%search
  plutostart=%search
  uniqueids=yes
  overridemtu=1492

conn %default
  authby=rsasig
  leftrsasigkey=%cert
  keyingtries=0
  left=1.2.3.4
  leftnexthop=1.2.3.5
  leftsubnet=10.0.0.0/8
  leftid="C=DE, ..."

conn EARTH
  rightid="C=DE, ..."
  compress=yes
  rightcert=EartCert.pem
  right=2.3.4.5
  rightnexthop=2.3.4.6
  rightsubnet=10.30.2.0/24
  auto=add

Auf SUN:
Code: 
rcipsec restart

Auf EARTH
Code: 
>rcipsec restart
>ipsec auto --up EARTH
104 "EARTH" #1: STATE_MAIN_I1: initiate
003 "EARTH" #1: ignoring Vendor ID payload
003 "EARTH" #1: ignoring Vendor ID payload
003 "EARTH" #1: ignoring Vendor ID payload
003 "EARTH" #1: ignoring Vendor ID payload
106 "EARTH" #1: STATE_MAIN_I2: sent MI2, expecting MR2
108 "EARTH" #1: STATE_MAIN_I3: sent MI3, expecting MR3
004 "EARTH" #1: STATE_MAIN_I4: ISAKMP SA established
112 "EARTH" #1: STATE_QUICK_I1: Initiate
004 "EARTH" #1: STATE_QUICK_I2: sent QI12, IPsec SA established

Anscheinend erfolrgeich. Wenn ich nun von einem Client des 10.0.0.0er Netzwerks die private IP des Routers 10.30.2.1 oder eine IP aus dem 10.30.2.0er Netz anpinge, erhalte ich beim Client lediglich:

Code: 
>ping 10.30.2.1
Antwort von 1.2.3.5: Zielnetz nicht erreichbar.

Gruß
IRobot
 
You must log in or register to reply here.
Back
Top