FreeS/Wan --> ...because no connection is known for...

[efkay]

Hallo Leute,

hab da ein Problem mit Freeswan 1.91 Server Suse7.3.

Wenn ich mich mit PGPNet7.03 eine Verbindung aufmachen möchte bekomme ich nur diese einzige Fehlermeldung:

cannot respond to IPsec SA request because no connection is known for 80.131.46.18[0x000000]...212.144.132.251[0x000000]

Hab mich da auch mal schlau gemacht und bin zu der Erkenntnis gekommen, dass es am Routing liegen kann (könnte). Leider habe ich kein Plan was der von mir wirklich wissen will statische routen usw. Probier jetzt schon eine ganze weile mit Routing-Tabellen und komm einfach nicht zu meiner Connection ich weiß jetzt einfach nicht mehr weiter ich poste euch einfach mal meine ipsec.conf vielleicht weiß einer von euch bescheit.

config setup

# THIS SETTING MUST BE CORRECT or almost nothing will work;

# %defaultroute is okay for most simple cases.

interfaces=%defaultroute

#interfaces="ipsec0=eth1"

# Debug-logging controls: "none" for (almost) none, "all" for lots.

klipsdebug=none

plutodebug=none

# Use auto= parameters in conn descriptions to control startup actions.

plutoload=%search

plutostart=%search

# Close down old connection when new one using same ID shows up.

uniqueids=yes

# defaults for subsequent connection descriptions

conn %default

# How persistent to be in (re)keying negotiations (0 means very).

keyingtries=3

keylife=30m

# RSA authentication with keys from DNS.

authby=rsasig

#leftrsasigkey=%dns

#rightrsasigkey=%dns

left=xyz.dyndns.org

leftid=@#xxxxxxxxx

leftrsasigkey=0x000....

leftsubnet=192.168.50.0/8

leftnexthop=217.5.98.98

type=tunnel

auto=add

conn roadwarrior

# Right security gateway, subnet behind it, next hop toward left.

right=%any

#right=0.0.0.0

rightid=@#xxxx

rightrsasigkey=0x0xxxx

#leftsubnet=192.168.50.0/8

#rightsubnet=192.168.50.0/32

#rightnexthop=145.253.1.100

# To authorize this connection, but not actually start it, at startup,

# uncomment this.

type=tunnel

auto=add

Also Vielen Dank im vorraus

Gruß efkay

[dr.disk]

cannot respond to IPsec SA request because no connection is known for 80.131.46.18[0x000000]...212.144.132.251[0x000000]

Das bedeutet, daß FreeS/WAN keine Verbindungsdefintion in seiner Konfiguration für die eingehende Verbindung hat. Das kann folgende Ursachen haben:

• die IPs stimmen nicht mit denen in der Konfig überein
  Achtung: DNS wird beim Start einmal aufgelöst, danach nie wieder - also sollte sich die IP ändern die Verbindung neu laden (ipsec auto --delete <verbindung> und danach ein ipsec auto --add <verbindung>)
  
• die übermittelten Zertifikate passen nicht zu denen in der Konfiguration
  

[efkay]

Servus Dr.Disk

also Danke nochmal für deine Antwort. Also ich denke das die Zertifikate stimmen müssen kann es noch sein das ich vielleicht leftsubnet oder rightsubnet falsch eingetragen habe. Das müsste doch die einfachste freeswan konstelation sein und ich bekomm den **** nicht hin langsam verzweifle ich weiß echt nicht mehr weiter hast du noch vielleicht eine Idee.

Gruß efkay

[efkay]

Achso nochwas habe noch mal ein detailiertes Logging:

Pluto[21548]: packet from 212.144.134.124:500: ignoring Vendor ID payload

Pluto[21548]: "roadwarrior" #1: responding to Main Mode from unknown peer 212.144.134.124

Pluto[21548]: "roadwarrior" #1: ignoring informational payload, type IPSEC_INITIAL_CONTACT

Pluto[21548]: "roadwarrior" #1: Peer ID is ID_KEY_ID: '0x000000'

Pluto[21548]: "roadwarrior" #1: ignoring CERT_PGP certificate payload

Pluto[21548]: "roadwarrior" #1: STATE_MAIN_R3: sent MR3, ISAKMP SA established

Pluto[21548]: "roadwarrior" #2: cannot respond to IPsec SA request because no connection is known for 80.131.31.142[0x000..]...212.144.134.124[0x0000...]

Vielleicht hilft euch das noch weiter Ausgabe ipsec auto --status:

000 interface ipsec0/ppp0 80.131.31.142

000

000 "roadwarrior" instance: 192.168.50.0/24===80.131.31.142[0x000..]...

000 "roadwarrior" instance: ...192.168.50.242---212.144.134.124[0x0000...]

000 "roadwarrior" instance: ike_life: 3600s; ipsec_life: 1800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0

000 "roadwarrior" instance: policy: RSASIG+ENCRYPT+TUNNEL+PFS; interface: ppp0; unrouted

000 "roadwarrior" instance: newest ISAKMP SA: #1; newest IPsec SA: #0; eroute owner: #0

000 "roadwarrior": 192.168.50.0/24===80.131.31.142[0x000...]...

000 "roadwarrior": ...192.168.50.242---%any[0x00...]

000 "roadwarrior": ike_life: 3600s; ipsec_life: 1800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0

000 "roadwarrior": policy: RSASIG+ENCRYPT+TUNNEL+PFS; interface: ppp0; unrouted

000 "roadwarrior": newest ISAKMP SA: #0; newest IPsec SA: #0; eroute owner: #0

000

000 #1: "roadwarrior":212.144.134.124 STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 2979s; newest ISAKMP

Ich glaube langsam habe ich das Gefühl das es jetzt an dem leftnexthop oder rightnexthop liegen könnte aber tut und tut einfach nicht. Leute ich hoffe von euch kann mir weiterhelfen bin für jeden Tip dankbar.

Danke im vorraus

Gruß efkay

[dr.disk]

Pluto[21548]: "roadwarrior" #2: cannot respond to IPsec SA request because no connection is known for 80.131.31.142[0x000..]...212.144.134.124[0x0000...]

Immer noch das Gleiche: stimmen die IPs/Subnetze? Da oben steht DynDns drin: wird die DynDNS Adresse richtig aufgelöst? Evtl. kann's daran scheitern.

Die Gateway's scheinen übrigens zu stimmen. Ansonsten würde der Verbindungsversuch erst gar nicht ankommen.

Gibt's ne Firewall die Dir einen Strich durch die Rechnung machen könnte? Nein? Können sich beide Rechner pingen - ohne VPN, also übers Internet?

Nur mal so nebenbei: was für eine VPN-Software läuft den auf dem anderen Client? Ich selbst benutze immer SSH Sentinel und bin eigentlich wirklich zufrieden mit dem Teil.

Ach ja, nochwas: wie ist denn der Client konfiguriert? Der Fehler könnte ja auch dort liegen...