On Sun, 2002-09-15 at 18:03, Wernig Markus wrote: > On Sun, 2002-09-15 at 17:08, Sven Crimmann wrote: > > hi > > > > erreichen will ich eine road worrior configuration. > > der client läd sich das zertifikat und baut eine verschlüsselte verbindung > > zum gateway auf. daher %any bei gw. > Ja dann brauchst du aber den x509-Patch. Sonst geht das mit den > Zertifikaten nicht. > > in eurer doku steht doch auch any und rsa?!? > Ist wahrscheinlich mein Fehler. Ich werde aber den Setup nochmal > durchspielen und gebe Dir Bescheid. (Solange hab ich die Zeile auf der > Website auskommentiert). Es ist wirklich, wie du sagst: fuer authby=rsasig musst du wirklich die RSA-Signaturen beider Hosts in beiden ipsec.conf manuell als leftrsasigkey und rightrsasigkey eintragen. Und du musst fuer jeden Host eine eigene conn-Sektion haben, %any funktioniert logischerweise nicht. (ipsec newhostkey und ipsec showhostkey). Sonst kriegst du den von dir beschriebenen Fehler. Mit x509 geht dann %any wieder, wenn du [left|right]rsasigkey=%cert setzt. Sorry fuer die Verwirrung. lg /markus
This is a digitally signed message part