Computerfuzzi

Ok, ich bin jetzt ein Stück weiter. Offentsichtlich arbeitet FreeS/WAN nicht mit dem MS L2TP/IPSec Client zusammen. Jetzt hab ich mal SSH Sentinel installiert.

Allerdings geht es immer noch nicht. Pluot gibt folgendes aus:

Oct 9 17:14:24 istanbul pluto[25340]: packet from 145.254.250.144:500: ignoring Vendor ID payload

Oct 9 17:14:24 istanbul pluto[25340]: "Roadwarrior"[4] 145.254.250.144 #17: responding to Main Mode from

unknown peer 145.254.250.144

Oct 9 17:14:25 istanbul pluto[25340]: "Roadwarrior"[4] 145.254.250.144 #17: ignoring informational payloa

d, type IPSEC_INITIAL_CONTACT

Oct 9 17:14:25 istanbul pluto[25340]: "Roadwarrior"[4] 145.254.250.144 #17: Peer ID is ID_DER_ASN1_DN: 'C

=DE, ST=BW, O=DPWF, OU=meineFirma, CN=fviertel, E=florian.viertel@meineFirma.de'

Oct 9 17:14:25 istanbul pluto[25340]: "Roadwarrior"[4] 145.254.250.144 #17: sent MR3, ISAKMP SA establish

ed

Oct 9 17:14:25 istanbul pluto[25340]: "Roadwarrior"[4] 145.254.250.144 #17: Informational Exchange messag

e for an established ISAKMP SA must be encrypted

Es fehlt also die Verschlüsselung, wenn ich das richtig interpretiere. Aber wie kann ich den Fehler beheben?

Computerfuzzi

Danke erstmal für die Hilfe bis jetzt.

Ich hab, um sicherzugehen, dass es daradn nicht liegt, alle Zertifikate neu erstellt und die nötigen unter Windows importiert.

Meine ipsec.conf sieht jetzt aus wie folgt:

config setup

interfaces=%defaultroute

klipsdebug=none

plutodebug=none

plutoload=%search

plutostart=%search

uniqueids=yes

conn %default

authby=rsasig

rightrsasigkey=%cert

left=%defaultroute

leftid="C=DE, ST=BW, L=Heilbronn O=DPWF, OU=meineFirma, CN=server.meineFirma.de, E=root@localhost.de

leftcert=gwkey.pem

auto=add

conn Roadwarrior

leftsubnet=192.168.0.0/24

right=%any

leftid="C=DE, ST=BW, L=Heilbronn, O=DPWF, OU=meineFirma, CN=server.meineFirma.de, E=root@localhost.de

rightcert=gwkey.pem

rightsubnet=0.0.0.0/0

Ein ipsec auto --status ergibt nach einem Neustart von ipsec folgendes:

000 interface ipsec0/eth0 a.b.c.d

000

000 "Roadwarrior": 192.168.0.0/24===a.b.c.d[C=DE, ST=BW, L=Heilbronn, O=DPWF, OU=meineFirma, CN=server.meineFirma.de, E=root@localhost.de]---a.b.c.e...%any===0.0.0.0/0

000 "Roadwarrior": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 3

000 "Roadwarrior": policy: RSASIG+ENCRYPT+TUNNEL+PFS+DISABLEARRIVALCHECK; interface: eth0; unrouted

000 "Roadwarrior": newest ISAKMP SA: #0; newest IPsec SA: #0; eroute owner: #0

000

000

Nach einem Verbindungsversuch, der mit derselben Fehlermeldung abgebrochen wird wie immer, ergibt sich dann folgende Ausgabe:

000 interface ipsec0/eth0 a.b.c.d

000

000 "Roadwarrior"[2]: 192.168.0.0/24===a.b.c.d[C=DE, ST=BW, L=Heilbronn, O=DPWF, OU=meineFirma, CN=server.meineFirma.de, E=root@localhost.de]---a.b.c.e...145.254.250.19[C=DE, ST=BW, O=DPWF, OU=meineFirma, CN=fviertel, E=florian.viertel@meineFirma.de]===0.0.0.0/0

000 "Roadwarrior"[2]: ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries:

3

000 "Roadwarrior"[2]: policy: RSASIG+ENCRYPT+TUNNEL+PFS+DISABLEARRIVALCHECK; interface: eth0; unrouted

000 "Roadwarrior"[2]: newest ISAKMP SA: #1; newest IPsec SA: #0; eroute owner: #0

000 "Roadwarrior": 192.168.0.0/24===a.b.c.d[C=DE, ST=BW, L=Heilbronn, O=DPWF, OU=meineFirma, CN=server.meineFirma.de, E=root@localhost.de]---a.b.c.e...%any===0.0.0.0/0

000 "Roadwarrior": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 3

000 "Roadwarrior": policy: RSASIG+ENCRYPT+TUNNEL+PFS+DISABLEARRIVALCHECK; interface: eth0; unrouted

000 "Roadwarrior": newest ISAKMP SA: #0; newest IPsec SA: #0; eroute owner: #0

000

000 #1: "Roadwarrior"[2] 145.254.250.19 STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 32

93s; newest ISAKMP

000

Noch irgendwelche Vorschläge?? Bin langsam extrem ratlos.

Computerfuzzi

Also grad steht nur das hier drin, aber ich änder es halt gerade die ganze Zeit um:

# basic configuration

config setup

interfaces=%defaultroute

klipsdebug=none

plutodebug=none

plutoload=%search

plutostart=%search

# defaults that apply to all connection descriptions

conn %default

authby=rsasig

leftrsasigkey=%cert

rightrsasigkey=%cert

left=%defaultroute

leftsubnet=192.168.0.0/24

leftid="C=DE, O=MeineFirma, CN=Root CA, E=webmaster@MeineFirma.de"

# Connection Roadwarrior

conn Roadwarrior

right=%any

type=tunnel

keyexchange=ike

pfs=yes

auto=add

keyingtries=1

Ja, davon bin ich auch ausgegangen, deshalb hab ich ja gefragt, wie meine ipsec.conf aussehen muss, damit es funktioniert. Ich hab da verschiedene Möglichkeiten ausprobiert, die ich im Netz gefunden habe, aber es hat nichts genutzt.

Computerfuzzi

Auch ich brauche Hilfe mit FreeS/Wan IPSec 1.98b mit X509 Patch v 0.9.15.

Es ist soweit alles installiert, doch wenn ich eine Verbindung herstellen möchte (Roadwarrior Win98 mit Microsoft L2TP/IPSec VPN Client), dann sagt mir Pluto folgendes:

Oct 8 11:01:50 istanbul pluto[8686]: packet from 145.254.249.167:500: ignoring Vendor ID payload

Oct 8 11:01:50 istanbul last message repeated 2 times

Oct 8 11:01:50 istanbul pluto[8686]: "Roadwarrior"[3] 145.254.249.167 #3: responding to Main Mode from unknown peer 145.254.249.167

Oct 8 11:01:50 istanbul pluto[8686]: "Roadwarrior"[3] 145.254.249.167 #3: ignoring Vendor ID payload

Oct 8 11:01:50 istanbul last message repeated 3 times

Oct 8 11:01:51 istanbul pluto[8686]: "Roadwarrior"[3] 145.254.249.167 #3: ignoring informational payload, type IPSEC_INITIAL_CONTACT

Oct 8 11:01:51 istanbul pluto[8686]: "Roadwarrior"[3] 145.254.249.167 #3: Peer ID is ID_DER_ASN1_DN: 'C=DE, O=Meine Firma

, CN=Florian Viertel, E=florian.viertel@MeineFirma.de'

Oct 8 11:01:51 istanbul pluto[8686]: "Roadwarrior"[4] 145.254.249.167 #3: deleting connection "Roadwarrior" instance with pee

r 145.254.249.167

Oct 8 11:01:51 istanbul pluto[8686]: "Roadwarrior"[4] 145.254.249.167 #3: sent MR3, ISAKMP SA established

Oct 8 11:01:51 istanbul pluto[8686]: "Roadwarrior"[4] 145.254.249.167 #3: cannot respond to IPsec SA request because no connection is known for a.b.c.d[C=DE, O=Meine Firma, CN=Root CA, E=webmaster@MeineFirma.de]:17/1701...145.254.249.167[C=D

E, O=Meine Firma, CN=Florian Viertel, E=florian.viertel@MeineFirma.de]:17/1701

Oct 8 11:01:57 istanbul pluto[8686]: "Roadwarrior"[4] 145.254.249.167 #3: Quick Mode I1 message is unacceptable because it us

es a previously used Message ID 0xb0b1367c (perhaps this is a duplicated packet)

Die entsprechenden Zertifikate sind auf dem Roadwarrior importiert.

Auf dem Security Gateway läuft auch eine Firewall (IPTables), aber die Ports (50, 51, 500) sind freigegeben. Die Topologie sieht also aus wie folgt (Sorry, sieht blöd aus, aber das verschiebt sich irgendwie dauernd und ich weiss nicht wieso. Man kann hoffentlich trotzdem erkennen, was gemeint ist):

           Subnet 192.168.0.0/24


            DHCP                 Samba	

   192.168.0.110     192.168.0.120

                     \             /

                      \           /

                       \         /

                        \       /

                         \     /

                          \   /

                           \ /

                            |

                            |

                         eth1

                192.168.0.105


         Firewall, Security Gateway


                   eth0, ipsec0

                       a.b.c.d

                            |

                            |

         DSL-Router m. statischer IP

                       a.b.c.e

                            |

                            |


                      Internet


                            |

                            |

                   Roadwarrior

              m. dynamischer IP

Wie muss hier jetzt meine ipsec.conf aussehen, damit sich ein Roadwarrior am Samba-Server (simuliert eine NT-Dömane) anmelden kann? Und wie sieht das mit mit dem IPSec-Masquerading aus. Muss es aktiviert werden oder nicht?

Ich bin für jede Hilfe dankbar, da ich langsam echt nicht mehr weiss, was ich machen soll.

Computerfuzzi

Also bei mir war es mein Chef, der vorgeschlagen hat, dass man nebenher ruhig Musik hören kann. Jetzt hab ich halt 10GB MP3´s auf meinem Rechner. Ist zwar blöd wenn ich mal wieder meinen Rechner plattmache da der Transfer von 10GB übers Netzwerk halt doch etwas dauert, aber sonst ist es perfekt, weil ich nicht immer meine ganzen CD´s mitschleppen muss, die ich vielleicht hören will.

Gruß

Computerfuzzi

Hi,

kennt jemand eine Möglichkeit, wie ich automatisch minütlich einen Link (führt zu einem JPG-Bild) aufrufen und das Bild mit einer fortlaufenden Nummer (denn es heisst ja immer gleich) speichern kann?

Vielleicht irgendein Downloadmanager oder so was?

Danke

Computerfuzzi

@ roter-stern:

Tja, soweit ich weiss ist es nach US-Recht vorgesehen, dass alle Unternehmen, die eine Niederlassung in den USA haben (und das haben eigentlich alle grossen Unternehmen) in den USA verklagt werden können. Theoretisch müssten die Urteile hier dann zwar nicht anerkannt werden, allerdings werden werden dann die Niederlassungen in den USA sanktioniert (einfrieren von Konten, usw.).

Computerfuzzi

Hallo,

ich hab auf einem Win98 Rechner Kazaa lite laufen.

Allerdings muss ich immer per ISDN ins Internet um es zu benutzen.

Da mein Rechner gleichzeitig auch im Firmen-Lan mit Standleitung hängt, wäre es aber viel einfacher, Kazaa darüber laufen zu lassen.

Unsere Firewall ist ein Rechner mit Suse 7.3, auf die SuSE Firewall 2 läuft. Was muss ich hier in den IPtables eintragen, damit Kazaa von meinem Rechner aus connecten kann?

Ich habe es mit

iptables -A allow -p tcp --dport 1214 -j ACCEPT

iptables -A allow -p udp --dport 1214 -j ACCEPT

versucht (allow ist die chain, auf die von INPUT und FORWARD verwiesen wird), aber das klappt nicht.

Ich bin für jede Hilfe dankbar.

Computerfuzzi

Manchmal gehts aber auch ganz kurzfristig:

- beworben: Anfang Oktober 2001

- Vorstellungsgespräch: 10. Oktober 2001

- Praktikum ab 15. Oktober 2001

- Ausbildungsbeginn 1. November 2001

Nur damit du keine Angst kriegst du könntest zu spät kommen.

Es ist zwar sinnvoll sich jetzt schon zu bewerben, aber viele (hauptsächlich kleinere Unternehmen) haben noch gar nicht angefangen nach einem Azubi fürs nächste Jahr zu suchen, bzw. wissen noch nicht ob sie überhaupt ausbilden.

Bei denen reicht es dann auch, wenn du dich erst so ab November/Dezember dieses Jahres bewirbst.

Nimm dir aber an mir kein Beispiel, dass man so kurzfristig einen Platz bekommt ist eine extreme Ausnahme.

Gruß

Computerfuzzi

Ach ja, noch ein Nachtrag, wenn du die Referenzierung doch noch einbaust, dann muss sie

<link rel="stylesheet" type="text/css" href="http://www.bully2000.de/xyz.css">

lauten.

Gruß

Computerfuzzi

Kann mich meinen Vorrednern nur anschliessen, es ist nirgends Referenzierung der CSS-Datei zu finden.

Vielleicht ja auf deinen tollen mit JavaScript geschützen Seiten, an die auch bestimmt keiner rankommt (Halt mal dein Mausrad gedrückt und dann zweimal Rechtsklick, nur eine Möglichkeit von vielen).

Hauptsache es schaut keiner deinen Quelltext an, was?

Muss ja sehr genial gemacht sein.

Aber da du schon so explizit auf dein Copyright hinweist:

Was zahlst du für deine Hintergrundmusik eigentlich an GEMA-Abgaben???

Gruß

Computerfuzzi

Kommt die Fehlermeldung jedesmal beim senden oder nur wenn du das erste mal auf senden klickst?

In ersterem Fall ist wahrscheinlich der SMTP-Server nicht korrekt angegeben.

Funktioniert das Senden immer erst beim zweiten mal, dann solltest du in den Optionen für das Konto unter Server "Postausgangsserver erfordert Authentifizierung" (oder so ähnlich) aktivieren. Das Konto funktioniert dann nämlich per "SMTP after POP", was bedeutet, dass zuerst Mails abgefragt weden müssen, bevor man welche versenden kann.

Gruss

Computerfuzzi