[Alug] FreeSWAN / WinXP Interop.-Probleme

Gunter Ohrner G.Ohrner at post.rwth-aachen.de
Mon Nov 24 11:40:49 CET 2003


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo!

Hat hier einer Erfahrung mit WInXP IPSEC und FreeSWAN als Gegenstelle?
Bei mir versucht WinXP irgendwie ständig, neue IPSEC SAs auszuhandeln,
wodurch der Tunnel ständig unterbrochen wird - so ist das Ganze
unbrauchbar...

Als Windows kommt Windows XP Home Edition OEM zum Einsatz, der Logauszug
unten kommt von Linux 2.4.22 FreeS/WAN 2.01 (Debian Paket 2.01-3).

Was ich machen möchte ist, ein offenes WLAN per IPSEC abzusichern. (Hielt
ich ursprünglich für 'ne gute Idee...) Der Linux-Rechner spielt dabei
DSL-Router.

IPSEC unter XP habe ich mit der MMC so konfiguriert, dass er für alle
Verbindungen einen Tunnel zum Linux-Router verwenden soll. (Bei WinXP
Home OEM fehlen die für Markus Müllers VPN Tool notwendigen
Hilfsprogramme, außerdem kann und will ich keine extra Software auf den
WLAN-Clients installieren.)
In den Zeiten zwischen den ständigen Tunnel ab- und neuaufbauten
funktioniert das Ganze so wie es soll.
Mit einem anderen Linux-Rechner statt WIndows als Gegenstelle tut alles
so, wie es soll.

Bei Windows habe ich MD5 als Hashfunktion, 3DES als Verschlüsselung,
Tunnel Mode, PFS aktiv, und "kein Rekeying" (Das soll vom Gateway
initiiert werden.) eingestellt.

Der relevante Auszug aus der ipsec.conf vom Router sieht folgendermaßen
aus:

config setup
        interfaces=%defaultroute
        uniqueids=yes

conn %default
        left=%defaultroute
        keyingtries=3
        authby=rsasig
        compress=yes

conn hausnetz
        leftsubnet=0.0.0.0/0
        left=192.168.168.254
        leftcert="hbcert.pem"
        right=%any
        rightrsasigkey=%cert
        keylife=20m
        auto=add

Ich habe sowohl SuperFreeS/WAN 1.99.8 als auch FreeS/WAN 2.01 (Debian
Paket 2.01-3) getestet. Letzteres funktioniert etwas besser, da das
Rekeying/der Tunnel-Neuaufbau wohl schneller von statten geht, aber das
Problem an sich bleibt das Gleiche.

Hoffentlich hat hier eine 'ne Idee... Ich nutze FreeS/WAN seit über 2
Jahren erfolgreich und völlig problemlos, um Linux-Rechner/Netze
miteinander zu verbinden, aber hier habe ich echt keine Idee mehr...

Grüße,

  Gunter



21:01:52 - packet from 192.168.168.200:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000003]
21:02:10 - "hausnetz"[1] 192.168.168.200 #3: deleting connection "gunter-christoph-passiv" instance with peer 192.168.168.200
21:02:10 - "hausnetz"[1] 192.168.168.200 #3: sent MR3, ISAKMP SA established
21:02:10 - "hausnetz"[1] 192.168.168.200 #3: retransmitting in response to duplicate packet; already STATE_MAIN_R3
21:02:10 - "hausnetz"[1] 192.168.168.200 #3: retransmitting in response to duplicate packet; already STATE_MAIN_R3
21:02:28 - "hausnetz"[1] 192.168.168.200 #4: responding to Quick Mode
21:03:20 - packet from 192.168.168.200:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000003]
21:03:20 - "hausnetz"[1] 192.168.168.200 #7: responding to Main Mode from unknown peer 192.168.168.200
21:03:38 - "hausnetz"[1] 192.168.168.200 #7: Peer ID is ID_DER_ASN1_DN: 'C=DE, ST=Germany, L=Aachen, O=Hausnetz, CN=Ohrner'
21:03:38 - "hausnetz"[1] 192.168.168.200 #7: issuer crl not found
21:03:38 - "hausnetz"[1] 192.168.168.200 #7: issuer crl not found
21:03:39 - "hausnetz"[1] 192.168.168.200 #7: sent MR3, ISAKMP SA established
21:03:39 - "hausnetz"[1] 192.168.168.200 #4: max number of retransmissions (2) reached STATE_QUICK_R1
21:03:39 - "hausnetz"[1] 192.168.168.200 #7: retransmitting in response to duplicate packet; already STATE_MAIN_R3
21:03:39 - "hausnetz"[1] 192.168.168.200 #7: retransmitting in response to duplicate packet; already STATE_MAIN_R3
21:03:56 - "hausnetz"[1] 192.168.168.200 #8: responding to Quick Mode
21:03:56 - "hausnetz"[1] 192.168.168.200 #8: IPsec SA established
21:04:43 - packet from 192.168.168.200:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000003]
21:04:43 - "hausnetz"[1] 192.168.168.200 #9: responding to Main Mode from unknown peer 192.168.168.200
21:04:50 - "hausnetz"[1] 192.168.168.200 #9: Peer ID is ID_DER_ASN1_DN: 'C=DE, ST=Germany, L=Aachen, O=Hausnetz, CN=Ohrner'
21:04:50 - "hausnetz"[1] 192.168.168.200 #9: issuer crl not found
21:04:50 - "hausnetz"[1] 192.168.168.200 #9: issuer crl not found
21:04:53 - "hausnetz"[1] 192.168.168.200 #9: sent MR3, ISAKMP SA established
21:04:53 - "hausnetz"[1] 192.168.168.200 #9: retransmitting in response to duplicate packet; already STATE_MAIN_R3
21:04:53 - "hausnetz"[1] 192.168.168.200 #9: retransmitting in response to duplicate packet; already STATE_MAIN_R3
21:04:55 - "hausnetz"[1] 192.168.168.200 #10: responding to Quick Mode
21:04:55 - "hausnetz"[1] 192.168.168.200 #10: IPsec SA established
21:04:55 - "hausnetz"[1] 192.168.168.200 #7: received Delete SA payload: deleting IPSEC State #8
21:04:55 - "hausnetz"[1] 192.168.168.200 #7: received and ignored informational message
21:05:03 - "hausnetz"[1] 192.168.168.200 #7: received Delete SA payload: deleting ISAKMP State #7
21:05:03 - packet from 192.168.168.200:500: received and ignored informational message
21:05:20 - packet from 192.168.168.200:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000003]
21:05:20 - "hausnetz"[1] 192.168.168.200 #11: responding to Main Mode from unknown peer 192.168.168.200
21:05:24 - "hausnetz"[1] 192.168.168.200 #11: Peer ID is ID_DER_ASN1_DN: 'C=DE, ST=Germany, L=Aachen, O=Hausnetz, CN=Ohrner'
21:05:24 - "hausnetz"[1] 192.168.168.200 #11: issuer crl not found
21:05:25 - "hausnetz"[1] 192.168.168.200 #11: issuer crl not found
21:05:33 - "hausnetz"[1] 192.168.168.200 #11: sent MR3, ISAKMP SA established
21:05:33 - "hausnetz"[1] 192.168.168.200 #11: retransmitting in response to duplicate packet; already STATE_MAIN_R3
21:05:33 - "hausnetz"[1] 192.168.168.200 #11: retransmitting in response to duplicate packet; already STATE_MAIN_R3
21:05:33 - "hausnetz"[1] 192.168.168.200 #11: discarding duplicate packet -- exhausted retransmission; already STATE_MAIN_R3
21:05:33 - "hausnetz"[1] 192.168.168.200 #11: discarding duplicate packet -- exhausted retransmission; already STATE_MAIN_R3
21:05:35 - "hausnetz"[1] 192.168.168.200 #12: responding to Quick Mode
21:05:35 - "hausnetz"[1] 192.168.168.200 #12: IPsec SA established
21:05:35 - "hausnetz"[1] 192.168.168.200 #9: received Delete SA payload: deleting IPSEC State #10
21:05:35 - "hausnetz"[1] 192.168.168.200 #9: received and ignored informational message
21:05:55 - packet from 192.168.168.200:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000003]
21:05:55 - "hausnetz"[1] 192.168.168.200 #13: responding to Main Mode from unknown peer 192.168.168.200
21:06:00 - "hausnetz"[1] 192.168.168.200 #13: Peer ID is ID_DER_ASN1_DN: 'C=DE, ST=Germany, L=Aachen, O=Hausnetz, CN=Ohrner'
21:06:00 - "hausnetz"[1] 192.168.168.200 #13: issuer crl not found
21:06:01 - "hausnetz"[1] 192.168.168.200 #13: issuer crl not found
21:06:06 - "hausnetz"[1] 192.168.168.200 #13: sent MR3, ISAKMP SA established
21:06:06 - "hausnetz"[1] 192.168.168.200 #13: retransmitting in response to duplicate packet; already STATE_MAIN_R3
21:06:06 - "hausnetz"[1] 192.168.168.200 #13: retransmitting in response to duplicate packet; already STATE_MAIN_R3
21:06:06 - "hausnetz"[1] 192.168.168.200 #13: discarding duplicate packet -- exhausted retransmission; already STATE_MAIN_R3
21:06:09 - "hausnetz"[1] 192.168.168.200 #14: responding to Quick Mode
21:06:09 - "hausnetz"[1] 192.168.168.200 #14: IPsec SA established

- -- 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
+                   PGP-verschlüsselte Mails bevorzugt!                 +
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Verence would rather cut his own leg off than put a witch in prison, 
since it'd save trouble in the long run and probably be less painful.    
    -- (Terry Pratchett, Lords and Ladies)
+-+-+-+-+-+-+-+-+-+-+-+-+ http://www.lspace.org +-+-+-+-+-+-+-+-+-+-+-+-+
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)

iD8DBQE/weAx0ORHvREo8l8RAu87AJ0TGhLYlGrKTZbT33DUv35KES21pQCfVgim
MPWjsAtJVcsAtr67se/7MG0=
=5ocB
-----END PGP SIGNATURE-----