Thema: (Erledigt) VPN (Racoon) Verbindung zu Bintec VPN Access 25

hallo, ich habe Suse 10.1 laufen und versuche mittels Racoon eine VPN-Verbindung zu einem Bintec VPN Access 25 herzustellen. Das scheint auch zu funktionieren, aber leider kommen keine Pakete durch den Tunnel durch. Weder "Ping" noch "telnet" funktioniert. Pinge ich allerdings vom Bintec die lokale IP des Linuxsystems an bekome ich eine Antwort. (Das Linuxsystem wird hinter einem Router betrieben)

Anbei meine Konfigs .. vllt. hat ja einer eine Idee die mir weiterhilft.

racoon.conf

Code:

path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "@sysconfdir_x@/cert";

   1. "padding" defines some padding parameters. You should not touch these.

padding
{

maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}

   1. if no listen directive is specified, racoon will listen on all
   2. available interface addresses.

listen
{


isakmp 192.168.1.22 [500];
isakmp 192.168.1.22 [4500];
#isakmp ::1 [7000];
#isakmp 202.249.11.124 [500];
#admin [7002]; # administrative port for racoonctl.
#strict_address; # requires that all addresses must be bound.
}

   1. Specify various default timers.

timer
{

# These value can be changed per remote node.
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # the number of packets per send.

# maximum time to wait for completing each phase.
phase1 30 sec;
phase2 15 sec;
}
remote anonymous
{

exchange_mode aggressive;
verify_identifier on;
my_identifier user_fqdn "remote@bintec.de";
peers_identifier user_fqdn "zentrale@bintec.de";
doi ipsec_doi;
situation identity_only;

# my_identifier asn1dn;
#certificate_type x509 "my.cert.pem" "my.key.pem";

nonce_size 16;
initial_contact on;
proposal_check obey; # obey, strict, or claim

proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous
{

pfs_group 2;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
sainfo subnet 192.168.1.0/24 any subnet 10.22.0.0/24 any
{ pfs_group 2;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}

setkey.conf

Code:

   1. This is a sample setkey.conf

   1. First of all flush the SPD database

spdflush;

   1. Add some SPD rules
   2. Very likely you'll want to replace these rules with your own ones

spdadd 127.0.0.0/8 127.0.0.0/8 any -P out none;
spdadd 127.0.0.0/8 127.0.0.0/8 any -P in none;

spdadd 192.168.1.0/24 10.22.0.0/24 any -P out ipsec
esp/tunnel/192.168.1.22-85.116.x.x/unique;

spdadd 10.22.0.0/24 192.168.1.0/24 any -P out ipsec
esp/tunnel/85.116.x.x-192.168.1.22/unique;

Weiterhin habe ich in der racoon (unter init.d) einen Eintrag gemacht, welcher mir eine Route zum Zielnetz über Eth0 erstellt.

Jmd ne Idee wo der Fehler liegen könnte ?

Gruß aus Mainz,
Nico

Da?

http://www.linux-club.de/ftopic70044.html

oder hier?

Bitte lesen

http://www.pc-forum24.de/showthread.php?t=1291

und dann entscheiden.

Greetz,

RM

Dann entscheid ich mich doch für hier wenn ich hier schon Feedback erhalten habe ;-)

Also um den Knackpunkt nochmal darzustellen. Vom Bintec aus kann ich die Linuxkiste pingen aber umgekehrt ist leider kein Traffic möglich.

Gruß,
Nico

Nun gut, dann wäre es zumindest höflich, im LC zu verlinken und dort möglicherweise gepostete Antworten hier ein zu beziehen, damit es zu keinen Überschneidungen kommt.

Back2Topic:

Auch wenn ich kein VPN-Kenner bin, so lautet doch die erste Frage, wie es mit der SuSEfirewall2 aussieht bzw. ob irgendeine andere Firewall auf den beiden Systemen läuft.

Was sagt bei SuSE ein

Code:

tail -f /var/log/messages

während eines Verbindungsversuches?

Gibt es irgendwelche Logdateien des VPN-Clients, die Du einsehen und möglicherweise posten könntest?

Welches Interface verwendet Racoon? (keine Ahnung, deshalb frage ich)
VPNC verwendet z.B. ein virtuelles Interface "tun0".

Wenn Racoon so ähnlich "funktioniert", was sagt dann

Code:

sudo /sbin/ifconfig

bei aktivierter Verbindung?

Greetz,

RM

Hallo nochmal,

als einzigste Fehlermeldung in den Messages finde ich die folgende Zeile:

racoon: ERROR: the length in the isakmp header is too big.

Die Meldung kommt nur wenn NAT T aktiviert ist. Deaktiviere ich NAT T kommen keine Fehler .. aber funktionieren tut es leider auch nicht.

Weitere Interfaces gibt es bei racoon keine.

FW ist auf beiden Seiten aus.

Das hier spuckt Tante Google zu Deiner Fehlermeldung

Code:

racoon: ERROR: the length in the isakmp header is too big.

aus.

http://www.google.de/search?q=racoon...UTF-8&oe=UTF-8

http://sourceforge.net/mailarchive/f...ewmonth=200408

http://orange.kame.net/dev/query-pr.cgi?pr=610

Die beiden sehen zumindest interessant aus.

Vielleicht hilft das weiter.

Greetz,

RM

Nachtrag:

http://www.linux-club.de/viewtopic.p...ghlight=racoon

http://www.linux-club.de/viewtopic.p...ghlight=racoon

===> Da gehts weiter.

P.S.

http://www.pc-forum24.de/showthread.php?t=1291