sslug-teknik team mailing list archive

Thread
Date

Re: ipsec STATE_QUICK_I1 problem

To: sslug-teknik@xxxxxxxx
From: Mogens Valentin <monz@xxxxxxxxx>
Date: Tue, 08 Jul 2003 16:41:03 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Organization: Mr Dev - www.mrdev.com
Sender: root@xxxxxxxxxxxxxxxxxx

Frank Vestergaard Pedersen wrote:
> 
> <klip>
> > Desværre har jeg (endnu) ikke erfaring med roadwarriers.
> > Det kunne være et problem med selve din ipsec-conf, hvor de to sider af
> > tunnelen ikke er konfigureret ens mht. IPnumre og/eller keys.
> > Det kan ozze være et problem med dine firewall regler.
> > Check dine conffiler, og nærlæs docs/firewall.html- hvad den nu hedder
> </klip>
> 
> på serversiden har jeg mens jeg testede ikke haft nogen firewall alle
> iptables har været "ACCEPT" og på klient siden er jeg desværre ikke
> sikker på hvad der bliver lukket igennem, men jeg tror at næste alt kan
> slippe igennem (jeg har ikke selv rådighed over den)
> 
> og ja de to ipsec.conf er ikke ens! de (freeswan.org) siger at man skal
> bytte om på left og right på i de to ænder Left = Lokal, Right = Remote!
> kan det virkelig passe, har prøvet at butte om på det men også uden
> videre succes!

Sorry! De to sider skal _ikke_ have ens conf. Hvad jeg mente var at
deres conf skal opføre sig identisk, men s'fø'li' skal der være bytte om
på IP numre og keys for left og right - de rigtige steder.

> det er undre mig mest er at som jeg ser der, så er IKE gået godt, da jeg
> når her til:
> 
> [root@fvp root]# ipsec auto --up road
> > 104 "road" #1: STATE_MAIN_I1: initiate
> > 106 "road" #1: STATE_MAIN_I2: sent MI2, expecting MR2
> > 108 "road" #1: STATE_MAIN_I3: sent MI3, expecting MR3
> > 004 "road" #1: STATE_MAIN_I4: ISAKMP SA established
> 
> og når den så skal starte selve tunnellen så går det galt, har jeg ikke
> ret i det?

Når det hele virker, vil det (med preshared keys) se sådan ud:

"PB55-H8-net11" #1: initiating Main Mode
"PB55-H8-net11" #1: ISAKMP SA established
"PB55-H8-net11" #2: initiating Quick Mode...
"PB55-H8-net11" #2: sent QI2, IPsec SA established

Sæt dig stille og roligt med en kop et-eller-andet, og kig på din conf
sammen med docs :-

-- 
Kind regards / venlig hilsen,
Mogens Valentin, Mr Dev

IT Networking, Security, Server Setup
www.danbbs.dk/~monz   mrdev@xxxxxxxxx
Phone +45 32 525 878  Cell 51 227 668

References

ipsec STATE_QUICK_I1 problem
From: Frank Vestergaard Pedersen, 2003-07-06
Re: ipsec STATE_QUICK_I1 problem
From: Mogens Valentin, 2003-07-07
Re: ipsec STATE_QUICK_I1 problem
From: Frank Vestergaard Pedersen, 2003-07-07