On Thu, 2002-08-08 at 11:37, Daemen Martin wrote: > Hallo liste, erst mal ein hallo in die runde. Ich bin bei der suche nach > ipsec lösungen auf euch gestoßen, als ich über das ipsec/freeswan > wochenende gelesen haben. Insofern hoffe ich, dass ihr mir helfen könnt. > Was ich einsetze : 2 suse 7.3 rechner mit freeswan 1.98/x.509 patch; > beide mit festen ip adressen. > Ich möchte eine ipsec verbindung von lan zu lan herstellen > > 192.168.100.0===212.x.x.x(mail) ....... 212.x.x.x(port)===192.168.200.0 > > Auf dem rechner mail habe ich den RootCA erstellt und mir ein Cert für > mail und port ausgestellt. Die entsprechenden Dateien habe ich von mail > nach port übertragen. ... und in /etc/ipsec.d/* gespeichert, in /etc/ipsec.secrets darauf verwiesen? Hast Du Private key und Public key (=Zertifikat) ausgetauscht sowie das CA-Zertifikat? > > conn vpn [...] > auto=add [...] > Nach einen ipsec restart auf beiden maschinen ergibt ipsec eroute : > Mail :0 192.168.100.0/24 -> 192.168.200.0/24 => > tun0x1002 at 212.xxx.xxx.xx7 > Port: 0 192.168.200.0/24 -> 192.168.100.0/24 => > tun0x1002 at 212.xx.xxx.xx8 > > Was nach meinem empfinden auch richtig ist. Das einzige was mich stutzig > macht, ist dieses tun0x1002 at ... Wo kommt das her. Ich hab nirgens diese > namen vergeben ?? Das ist ein von freeswan intern verwendeter Name. Sieht immer so aus. > > Ihr seht schon, ich hab ein wenig den ueberblick verloren. Kann mir > jemand vielleicht noch sagen, wie ich diesen endlos langen logfile > (var/log/message) besser auswerten kann, oder ob es noch andere ipsec > commands gibt, die mir mehr info geben. Tja, kommt drauf an, was Dein Problem ist. Da Du hierher schreibst, nehme ich an, dass es nicht funktioniert. Fehlermeldungen? Was ist das Symptom? M.E. ist Dein Setup korrekt. So wie Du das beschreibst, musst Du auf dem Host, der die Verbindung aufbauen soll, noch "ipsec auto --up vpn" ausfuehren (gesetzt, "vpn" ist der Verbindungsname), sodann muss auf beiden Hosts ip_forward auf 1 sein. Das Routing zwischen den beiden Netzen hinter den Gateways muss funktionieren. Was das Log angeht: In /etc/syslog.conf folgendes eintragen: authpriv.* /var/log/security Dann schreibt pluto nach /var/log/security. Wenn Du noch authpriv.none zu der Zeile schreibst, die nach /var/log/messages zeigt, hast Du das File dann frei von pluto-Meldungen. Fuer weiteres braeuchte ich mehr Info von Dir lg /markus
This is a digitally signed message part