IPSec a nenavazujici se spojeni [delsi]
Petr Vejsada
daemon na nospam.exe
Čtvrtek Květen 22 09:14:12 CEST 2003
Zdenek SUTR Kaminski wrote:
> No, freeswan jako takovy mam uz hodnekrat vyzkouseny a vzdycky mi zatim
> uspokojive fungoval. No super-freeswan vyzkousim, pac zatim ten ipsec
> delam "sam mezi sebou"...
Takze se ozyvam po delsi dobe. Asi uz vim (pro zajimavost), proc mi nechodila
cista freeswan proti superfreeswan. Je to napsane v README.X509:
config setup:
nocrsend=yes
> Btw. az rozjedete ipsec na w2000 proti linuxu, tak o tom napiste. Hledal
> jsem nejaky vhodny soft (ci jsem se dival na ten zabudovany, co tam maji
> defaulnte), ale rozumny jsem z toho moc nebyl. Na druhou stranu jsem se
> nedival nijak dukladne...
Prave mam na stole notebook s WinXP a snazim se, ale nemohu prijit na jednu
vec na linuxu - jak mam vysvetlit plutu, kde je verejny klic (=certifikat)
sebe sama. Pise se cosi o /etc/x509cert.der a ze je to deprecated, tedy to
nepouzivam (navic mam vsude format PEM). Nemohu ale najit, co tedy neni
deprecated a kam mam ten svuj vlastni verejny klic dat a jak to rici plutu.
Zkousel jsem ho do stejneho souboru jako soukromy klic, ale pluto nepochopil.
Dopisuji pozdeji - asi jsem pochopil, ze verejny klic se zadava primo do conn
- pokud jsem left, tak leftcert=. Pak mi jeste neni uplne jasne, zda musim
zadavat verejny klic protistrany - pokud je protistrana right, zda tedy musim
zadavat rightcert= ci zda staci, zda je verejny klic (certifikat) podepsan
CA.
V cem mam nejspis momentalne nejvetsi problem je rightid (protistrana).
Zkousel jsem zadavat vselijake casti DN certifikatu, nebo i vsechna DN, ale
vzdy jsem skoncil na techto hlaskach:
May 21 19:10:32 linux pluto[23346]: added connection description "nbook-vorlk"
May 21 19:10:54 linux pluto[23346]: packet from 192.168.64.234:500: ignoring
Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000003]
May 21 19:10:54 linux pluto[23346]: "nbook-vorlk"[1] 192.168.64.234 #9:
responding to Main Mode from unknown peer 192.168.64.234
May 21 19:10:55 linux pluto[23346]: "nbook-vorlk"[1] 192.168.64.234 #9: Peer
ID is ID_DER_ASN1_DN: 'C=CZ, ST=Ceska republika, L=Praha, O=Svoboda a.s.,
OU=ipsec, CN=nbook-vorlk'
May 21 19:10:55 linux pluto[23346]: "nbook-vorlk"[1] 192.168.64.234 #9: no
suitable connection for peer 'C=CZ, ST=Ceska republika, L=Praha, O=Svoboda
a.s., OU=ipsec, CN=nbook-vorlk'
May 21 19:10:55 linux pluto[23346]: "nbook-vorlk"[1] 192.168.64.234 #9:
sending notification INVALID_ID_INFORMATION to 192.168.64.234:500
ipsec.conf: (gateway je left, windows jsou right)
config setup
interfaces="ipsec0=eth0"
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes
strictcrlpolicy=yes
conn %default
keyingtries=2
authby=rsasig
auto=add
conn nbook-vorlk
left=212.24.142.174
leftsubnet=192.168.0.0/16
leftcert=mycerts/linux.pem
right=0.0.0.0
rightrsasigkey=%cert
rightcert=certs/nbook-vorlk.pem
a tady jsem zkousel ruzna rightid, neco ve smyslu
rightid="C=CZ, ST=Ceska republika, L=Praha, O=Svoboda a.s., OU=ipsec,
CN=nbook-vorlk"
Zda se, ze jsem uz blizko uspechu, ale jeste mi chybi ten kousek :)
Diky vsem za pripadnou pomoc.
A kdyz uz jsem u tech dotazu, lze specifikovat vice leftsubnets ? Tedy jinak,
nez ze nadefinuji 2 ruzne conn, neco jako
leftsubnet=192.168.0.0/16,10.0.0.0/8 treba ?
--
Petr /daemon(zavinac)svoboda(tecka)cz/
Další informace o konferenci Linux