IPSec a nenavazujici se spojeni [delsi]

Petr Vejsada daemon na nospam.exe
Čtvrtek Květen 22 09:14:12 CEST 2003 

Zdenek SUTR Kaminski wrote:

> No, freeswan jako takovy mam uz hodnekrat vyzkouseny a vzdycky mi zatim
> uspokojive fungoval. No super-freeswan vyzkousim, pac zatim ten ipsec
> delam "sam mezi sebou"...

Takze se ozyvam po delsi dobe. Asi uz vim (pro zajimavost), proc mi nechodila 
cista freeswan proti superfreeswan. Je to napsane v README.X509:

config setup:
        nocrsend=yes

> Btw. az rozjedete ipsec na w2000 proti linuxu, tak o tom napiste. Hledal
> jsem nejaky vhodny soft (ci jsem se dival na ten zabudovany, co tam maji
> defaulnte), ale rozumny jsem z toho moc nebyl. Na druhou stranu jsem se
> nedival nijak dukladne...

Prave mam na stole notebook s WinXP a snazim se, ale nemohu prijit na jednu 
vec na linuxu - jak mam vysvetlit plutu, kde je verejny klic (=certifikat) 
sebe sama. Pise se cosi o /etc/x509cert.der a ze je to deprecated, tedy to 
nepouzivam (navic mam vsude format PEM). Nemohu ale najit, co tedy neni 
deprecated a kam mam ten svuj vlastni verejny klic dat a jak to rici plutu. 
Zkousel jsem ho do stejneho souboru jako soukromy klic, ale pluto nepochopil. 

Dopisuji pozdeji - asi jsem pochopil, ze verejny klic se zadava primo do conn 
- pokud jsem left, tak leftcert=. Pak mi jeste neni uplne jasne, zda musim 
zadavat verejny klic protistrany - pokud je protistrana right, zda tedy musim 
zadavat rightcert= ci zda staci, zda je verejny klic (certifikat) podepsan 
CA.

V cem mam nejspis momentalne nejvetsi problem je rightid (protistrana). 
Zkousel jsem zadavat vselijake casti DN certifikatu, nebo i vsechna DN, ale 
vzdy jsem skoncil na techto hlaskach:

May 21 19:10:32 linux pluto[23346]: added connection description "nbook-vorlk"
May 21 19:10:54 linux pluto[23346]: packet from 192.168.64.234:500: ignoring 
Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000003]
May 21 19:10:54 linux pluto[23346]: "nbook-vorlk"[1] 192.168.64.234 #9: 
responding to Main Mode from unknown peer 192.168.64.234
May 21 19:10:55 linux pluto[23346]: "nbook-vorlk"[1] 192.168.64.234 #9: Peer 
ID is ID_DER_ASN1_DN: 'C=CZ, ST=Ceska republika, L=Praha, O=Svoboda a.s., 
OU=ipsec, CN=nbook-vorlk'
May 21 19:10:55 linux pluto[23346]: "nbook-vorlk"[1] 192.168.64.234 #9: no 
suitable connection for peer 'C=CZ, ST=Ceska republika, L=Praha, O=Svoboda 
a.s., OU=ipsec, CN=nbook-vorlk'
May 21 19:10:55 linux pluto[23346]: "nbook-vorlk"[1] 192.168.64.234 #9: 
sending notification INVALID_ID_INFORMATION to 192.168.64.234:500

ipsec.conf: (gateway je left, windows jsou right)

config setup
                interfaces="ipsec0=eth0"
                klipsdebug=none
                plutodebug=none
                plutoload=%search
                plutostart=%search
                uniqueids=yes
                strictcrlpolicy=yes

conn %default
                keyingtries=2
                authby=rsasig
                auto=add

conn nbook-vorlk
                left=212.24.142.174
                leftsubnet=192.168.0.0/16
                leftcert=mycerts/linux.pem
                right=0.0.0.0
                rightrsasigkey=%cert
                rightcert=certs/nbook-vorlk.pem

a tady jsem zkousel ruzna rightid, neco ve smyslu

rightid="C=CZ, ST=Ceska republika, L=Praha, O=Svoboda a.s., OU=ipsec, 
CN=nbook-vorlk"

Zda se, ze jsem uz blizko uspechu, ale jeste mi chybi ten kousek :)

Diky vsem za pripadnou pomoc.

A kdyz uz jsem u tech dotazu, lze specifikovat vice leftsubnets ? Tedy jinak, 
nez ze nadefinuji 2 ruzne conn, neco jako 
leftsubnet=192.168.0.0/16,10.0.0.0/8 treba ?

-- 
Petr /daemon(zavinac)svoboda(tecka)cz/

Další informace o konferenci Linux