FreeSWAN VPN Server

Bender007 · Posted: Tue Aug 26, 2003 2:47 pm Post subject: FreeSWAN VPN Server

Hi ho

ich wollte mir einen VPN Server aufsetzten und benutze freeswan. Im Kernel sollten eigentlich alle module eingebunden sein allerdings steig ich durch die konfiguration nicht durch und hab bis jetzt noch kein anständiges howto gefunden...

Wie geht man bei so einer VPN installation vor?
Der start von ipsec funzt einwandrei:
./ipsec start
ipsec_setup: Starting FreeS/WAN IPsec 1.99...
ipsec_setup: Using /lib/modules/2.4.20-gentoo-r5/kernel/net/ipsec/ipsec.o

ipsec verify meldet mir allerdings folgenenden fehler:

....
Checking your system to see if IPsec got installed and started correctly
Version check and ipsec on-path Checking your system to see if IPsec got installed and star$
Version check and ipsec on-path [OK]
Checking for KLIPS support in kernel [FAILED]
Checking for RSA private key (/etc/ipsec/ipsec.secrets) [OK]
Checking that pluto is running [FAILED]
DNS checks.
Looking for forward key for matrix [FAILED]
Looking for KEY in reverse map: 146.239.84.217.in-addr.arpa [FAILED]
Does the machine have at least one non-private address [OK]
Usage: ipsec setup {--start|--stop|--restart|--status}
Usage: ipsec setup {--start|--stop|--restart|--status}
Usage: ipsec setup {--start|--stop|--restart|--status}
Usage: ipsec setup {--start|--stop|--restart|--status}
Usage: ipsec setup {--start|--stop|--restart|--status}
/usr/lib/ipsec/verify: line 96: host: command not found
/usr/lib/ipsec/verify: line 128: host: command not found
...

und das geht ein paar seiten so weiter...
und was ist pluto und muss ich pluto extra emergen??

Medial · n00b Joined: 26 Dec 2002 Posts: 7 Location: Stuttgart

Hi,
versuchs mal mit

Bender007 · Posted: Wed Aug 27, 2003 9:48 am Post subject:

pluto und klips funzen jetzt aber problem hab ich immernoch mit dem key... kann ir vielleicht einer von euch mal seine ipsec.conf posten damit ich die meinem system anpassen kann ..

ipsec verify
Checking your system to see if IPsec got installed and started correctly
Version check and ipsec on-path [OK]
Checking for KLIPS support in kernel [OK]
Checking for RSA private key (/etc/ipsec/ipsec.secrets) [OK]
Checking that pluto is running [OK]
DNS checks.
Looking for forward key for matrix /usr/lib/ipsec/verify: line 96: host: command not found
[FAILED]
Looking for KEY in reverse map: 127.215.226.217.in-addr.arpa/usr/lib/ipsec/verify: line 128: host: command not found
[FAILED]
Does the machine have at least one non-private address [OK]

Und wo trage ich den Benutzer ein der sich einwählen darf??

Bender007 · Posted: Wed Aug 27, 2003 1:11 pm Post subject:

ich bin am verzweifeln ich bekomme diese DNS meldung nicht weg !!!
Hat das was mit dem Key zu tun??
So wie ich das jetzt verstanden habe muss ich in die ipsec.conf auch noch einen key eintragen ... aber welchen und wo??

Hier nochmal die Fehlermeldung:

ipsec verify
Checking your system to see if IPsec got installed and started correctly
Version check and ipsec on-path [OK]
Checking for KLIPS support in kernel [OK]
Checking for RSA private key (/etc/ipsec/ipsec.secrets) [OK]
Checking that pluto is running [OK]
DNS checks.
Looking for forward key for matrix /usr/lib/ipsec/verify: line 96: host: command not found
[FAILED]
Looking for KEY in reverse map: 127.215.226.217.in-addr.arpa/usr/lib/ipsec/verify: line 128: host: command not found
[FAILED]
Does the machine have at least one non-private address [OK]

Beforegod · Posted: Wed Aug 27, 2003 1:45 pm Post subject:

Sieht fast so aus als würde Dir die Bind-Tools fehlen.
Installiere diese mal nach

emerge bind-tools (oder bind-utils)..

/bin mir nicht 100% sicher)

Bender007 · Posted: Wed Aug 27, 2003 1:51 pm Post subject:

cool hat geklappt danke beforegod nur eine Fehlermeldung gibt er noch aus:
matrix root # ipsec verify
Checking your system to see if IPsec got installed and started correctly
Version check and ipsec on-path [OK]
Checking for KLIPS support in kernel [OK]
Checking for RSA private key (/etc/ipsec/ipsec.secrets) [OK]
Checking that pluto is running [OK]
DNS checks.
Looking for forward key for matrix [OK]
Looking for KEY in reverse map: 127.215.226.217.in-addr.arpa[FAILED]
Does the machine have at least one non-private address [OK]

Das kann daran liegen das ich doch noch einen key in die ipsec.conf eintragen muss oder ?? ich steig durch diesen key krams langsam net mehr durch wenn jemand die ipsec.conf zur hand hat wäre das supercool.. Oder kann mir einer sagen was ich da für einen key eintragen muss ?

Was mir aufgefallen ist das die adresse oben wo er den fehler meldet das ist meine ip adresse aber falsch rum...
217.226.215.127 das ist meine aktuelle ip...

Medial · n00b Joined: 26 Dec 2002 Posts: 7 Location: Stuttgart

Ohne mich zu weit aus dem Fenster hinauslehen zu wollen da ich eigenlich net so viel Ahnung von Frees/WAN hab, sind meines wissenstands nach diese beiden Punkte für dich eigenlich egal, da sie eigenlich (wie gesagt nach meinem wissensstand) nur für "opportunistic encryption" gebraucht werden. Falls du das tatsächlich brauchen solltest kannst du dich ja mal hier reinlesen. Ansonsten würd ich an deiner stelle mir nochmal die ipsec.conf anschauen und schauen ob man OE nicht deaktivieren kann .

Bender007 · Posted: Wed Aug 27, 2003 3:10 pm Post subject:

mhh ich hab mal nachgeschaut aber die Option das man das deaktivieren kann hab ich nicht gefunden... wenn ich den ipsec server starte kann ich nicht connecten (mit den in win 2000 eingebundenen client)!

und wie sieht es mit den benutzern aus die sich verbinden dürfen wo trägt man die ein???

Fehlermeldung bleibt:
Looking for KEY in reverse map: 127.215.226.217.in-addr.arpa[FAILED]

Hier meine ipsec.conf_

# /etc/ipsec.conf - FreeS/WAN IPsec configuration file

# More elaborate and more varied sample configurations can be found
# in FreeS/WAN's doc/examples file, and in the HTML documentation.

# basic configuration
config setup
interfaces="ipsec0=ppp0"
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes

# defaults for subsequent connection descriptions
# (these defaults will soon go away)
conn %default
authby=rsasig
disablearrivalcheck=no
keyingtries=0
left=%any
leftnexthop=%direct
leftrsasigkey=%dnsondemand
right=%any
rightnexthop=%direct
rightrsasigkey=%dnsondemand

# connection description for opportunistic encryption
# (requires KEY record in your DNS reverse map; see doc/opportunism.howto)
#conn me-to-anyone
# left=%any
# right=%any
# keylife=1h
# rekey=no
# # for initiator only OE, uncomment and uncomment this
# # after putting your key in your forward map
# #leftid=@myhostname.example.com
# # uncomment this next line to enable it
# #auto=route
#

# sample VPN connection
conn matrix
left=%any
leftnexthop=%defaultroute
leftsubnet=192.168.0.0/24
leftrsasigkey=%dnsondemand
right=%any
rightnexthop=%defaultroute
rightsubnet=192.168.0.0/24
rightrsasigkey=%dnsondemand
# To authorize this connection, but not actually start it, at startup,
# uncomment this.
#auto=add

Diese meldung hab ich noch gefunden wenn ich ipsec starte:

Starting FreeS/WAN IPsec 1.99...
Aug 28 17:15:42 matrix ipsec_setup: Using /lib/modules/2.4.20-gentoo-r5/kernel/net/ipsec/ipsec.o
Aug 28 17:15:42 matrix ipsec_setup: KLIPS debug `none'
Aug 28 17:15:43 matrix ipsec_setup: KLIPS ipsec0 on ppp0 217.84.230.153/255.255.255.255 pointopoint 217.5.98.59

wo kann ich das ändern denn die subnetzmaske ist falsch und das pointtopoint keine ahnung was das ist aber es stimmt auch nicht...

Bender007 · Posted: Thu Aug 28, 2003 9:15 am Post subject:

oder soll ich die eine meldung ignorieren??

Looking for KEY in reverse map: 127.215.226.217.in-addr.arpa[FAILED]

pZYchO · n00b Joined: 28 Apr 2003 Posts: 61

Dein Problem hat erstmal nichts mit Keys zu tun. Der Versucht lediglich deine IP Adresse in einen Namen aufzulösen (deswegen steht deine Adresse auch falschrum da...). Mit anderen Worten, dein ISP setzt auf deine IP kein PTR (Pointer) Record im DNS.
Inwieweit das auswirkungen auf IPsec hat kann ich dir leider auch nicht sagen, da ich auch noch am Anfang stehe... =)

MfG pZYchO