IPSec VPN zwischen OpenBSD 4.0 und OpenSwan 2.4.7

[BsDbeginner]

Hallo,

ich möchte ein IPSec-VPN zwischen OpenBSD 4.0 und OpenSwan 2.4.7 Maschinen einrichten. Nach vielen Versuchen mit x Variationen in der isakmpd.conf habe ich aber keinen Erfolg vorzuweisen.
Ich sehe nur folgende Ausgabe wenn ich isakmpd -d -DA=99 zum start von isakmp nutze:
"#Default Message: dropped message from <IP>:500 due to reason: NO_PROPOSAL_CHOSEN"

Hat irgendjemand bereits erfolgreich eine solche Konfiguration aufgesetzt und kann mir möglicherweise bzgl. der Konfiguration Ratschläge geben?

Ich nutze folgende Konfiguration:

isakmpd.conf

[General]
Listen-on= 171.168.16.1

[Phase 1]
171.168.16.2= tux

[Phase 2]
Connections = obsd-tux

[tux]
Phase = 1
Transport = udp
Address = 171.168.16.2
Configuration = Default-main-mode
Authentication = reallysecret

# <IPsec connection>
[obsd-tux]
Phase = 2
ISAKMP-peer = tux
Configuration = Default-quick-mode
Local-ID = host-obsd
Remote-ID = host-tux

[host-obsd]
ID-type = IPV4_ADDR
Network = 171.168.16.1
Netmask = 255.255.255.0

[host-tux]
ID-type = IPV4_ADDR
Network = 171.168.16.2
Netmask = 255.255.255.0

[Default-main-mode]
DOI = IPSEC
EXCHANGE_TYPE = ID_PROT
Transforms = 3DES-SHA

[Default-quick-mode]
DOI = IPSEC
EXCHANGE_TYPE = QUICK_MODE
Suites = QM-ESP-3DES-SHA-SUITE

[3DES-SHA]
ENCRYPTION_ALGORITHM = 3DES_CBC
HASH_ALGORITHM = SHA
AUTHENTICATION_METHOD = PRE_SHARED
GROUP_DESCRIPTION = MODP_1024
Life = LIFE_3600_SECS

[QM-ESP-3DES-SHA-SUITE]
Protocols = QM-ESP-3DES-SHA

[QM-ESP-3DES-SHA]
PROTOCOL_ID = IPSEC_ESP
Transforms = QM-ESP-3DES-SHA-XF

[QM-ESP-3DES-SHA-XF]
TRANSFORM_ID = 3DES
ENCAPSULATION_MODE = TUNNEL
AUTHENTICATION_ALGORITHM = HMAC_SHA
Life = LIFE_1200_SECS

[LIFE_1200_SECS]
LIFE_TYPE = SECONDS
LIFE_DURATION = 1200,60:2400

[LIFE_3600_SECS]
LIFE_TYPE = SECONDS
LIFE_DURATION = 3600,60:7200
######################## Ende der isakmpd.conf

isakmpd.policy

Keynote-version: 2
Authorizer: "POLICY"
Conditions: app_domain == "IPsec policy" &&
esp_present == "yes" &&
esp_enc_alg != "null" -> "true";
########################Ende der isakmpd.policy

Ich bin da mittlerweile echt am Verzweifeln und daher für jeden Tipp oder Ratschlag dankbar.

 

[zyon]

Hat irgendjemand bereits erfolgreich eine solche Konfiguration aufgesetzt und kann mir möglicherweise bzgl. der Konfiguration Ratschläge geben?

von openswan habe ich leider keine Ahnung. Aber vielleicht kann das hier ja irgednwie helfen: http://openbsd.de/files/openbsd-ipsec.pdf

Viel Erfolg

zyon

 

[BsDbeginner]

Ich habe den Vorschlag dieses Manuals schon zu berücksichtigen versucht, allerdings ohne Erfolg.

Trotzdem danke für den Hinweis.

Vielleicht nutze ich einfach den falschen Ansatz, sollte man lieber auf ipsecctl statt auf isakmpd zurückgreifen??

 

[Baseballbatboy]

Vergiss die isakmpd.conf und nutze die Kombination ipsec.conf und ipsecctl. Lies Dir die manpages dazu durch.

Die Meldung NO_PROPOSAL_CHOSEN hatte ich einmal, als zwischen zwei OpenBSD-Maschinen mit unterschiedlichem RELEASE (3.8 und 3.9) die beiden sich über die Verschlüsselung nicht einig werden konnte. Vermutlich, weil 3.8 und 3.9 eine andere Verschlüsselungsmethode als default hatten. Nach Update 3.8 -> 3.9 ging alles reibungslos.

Gruß
Baseballbatboy

 

[BsDbeginner]

Danke für den Tipp, ich werde es mal mit ipsec.conf und ipsecctl versuchen.
Gibt es außer den Manpages da noch eine Informationsquelle für??

 

[BsDbeginner]

ich habe es jetzt mal nach baseballbatboys ratschlag mit folgender ipsec.conf versucht (isakmpd.conf wurde komplett gelöscht)

ike esp from 171.168.16.1 to 171.168.16.2 psk "secret"
flow esp from 171.168.16.1 to 171.168.16.2

das per ipsecctl -vv -f ipsec.conf gestart, aber die Ausgabe im Log ist:
"packet from 171.168.16.1: ignoring informational payload, type NO_PROPOSAL_CHOSEN"
"packet from 171.168.16.1: received and ignored informational message"
Sagt jemandem diese Ausgabe etwas?

 

[marty]

Aber der isakmpd läuft? Vielleicht hast du hier noch einen Anhaltspunkt: http://www.securityfocus.com/infocus/1859

 

[Baseballbatboy]

Spezifiziere auf beiden Rechnern (wenn das geht) den Authentifizierungs- und Verschlüsselungsalgorithmus. So habe ich die gleiche Meldung mal beheben können (zwischen OpenBSD 3.8 und 3.9).

Bevor Fragen kommen: nein, ich kenne OpenSwan nicht.

Gruß
Baseballbatboy

 

[marty]

Hallo nochmal,

ich habe die letzten Stunden mal rumgespielt mit dem IPSec vom OpenBSD 4.0 und versucht den Kontakt mit einen Cisco Router aufnehmen zu lassen. Folgendes festgestellt: 1. benutze nicht AH, das kann OpenBSD 4.0 nicht, in Current soll es angeblich drin sein. 2. AES geht nur mit 128 Bit. 3. OpenBSD 4.0 nutzt standartmassig die DH Group 2 (also muß man die zum Bsp. auf den Cisco auch so einstellen)
4. Ansonsten geht das recht simpel mit der /etc/ipsec.conf:

ike esp from 192.168.100.1 to 192.168.210.1 peer 192.168.210.1 main auth hmac-sha1 enc aes psk TEST
ike esp from 192.168.100.1 to 192.168.210.1 peer 192.168.210.1 quick auth hmac-sha1 enc aes psk TEST

gestartet wird der Kram mit:

isakmpd -K -v -d &
ipsecctl -f /etc/ipsec.conf

 

[Baseballbatboy]

1. benutze nicht AH, das kann OpenBSD 4.0 nicht, in Current soll es angeblich drin sein.

Hm?

DESCRIPTION
IPsec is a pair of protocols, Encapsulating Security Payload (ESP) and
Authentication Header (AH), which provide security services for IP data-
grams.

Both protocols may be enabled or disabled using the following sysctl(3)
variables in /etc/sysctl.conf. By default, both protocols are enabled:

net.inet.esp.enable Enable the ESP IPsec protocol
net.inet.ah.enable Enable the AH IPsec protocol

Geht doch.

2. AES geht nur mit 128 Bit.

Im Quick Mode geht AES auch mit 160Bit (aesctr).

3. OpenBSD 4.0 nutzt standartmassig die DH Group 2 (also muß man die zum Bsp. auf den Cisco auch so einstellen)

Ich glaube, dazu ist das "group"-Keyword gedacht.

Hier mal ein praktisches Beispiel:

ike passive esp from 0.0.0.0/0 to 10.0.1.100

ike passive esp from 0.0.0.0/0 to 10.0.1.101 \
        main auth hmac-md5 enc 3des group modp1024 \
        quick auth hmac-md5 enc 3des group modp1024 \
        psk <key>

ike passive esp from 0.0.0.0/0 to 10.0.1.102 \
        main auth hmac-md5 enc 3des group modp1024 \
        quick auth hmac-md5 enc 3des group modp1024 \
        psk <key>

Das ist die ipsec.conf auf meinem Router/AP, ich sichere damit mein WLAN. Die erste Zeile ist zwischen meinem Notebook und dem AP, beides OpenBSD 4.0. Einfacher gehts nicht.

Die anderen beiden sind zwei Windows-Rechner, auf einem XP, auf dem anderen 2000. Die IPSec-Implementierung von Windows kann scheinbar kein AES, deswegen 3DES, und MD5 zur Authentifizierung weil ich die passende Kombination von Windows-SHA und OpenBSD-SHA nicht gefunden hab.

Gruß
Baseballbatboy

 

[marty]

Ja, aber AH in der ipsec.conf soll noch nicht gehen, aber ich lasse mich gerne des besseren belehren, bitte mit einer Bspconfig

 

[Baseballbatboy]

In ipsec.conf (5) steht:

encap specifies the encapsulation protocol to be used. Possible
protocols are esp and ah; the default is esp.

Scheint also zu gehen.

Gruß
Baseballbatboy

 

[marty]

also nach Testen und einer kurzen Mail mit Christian Weisgerber herausgefunden:

Derzeit geht in der Tat nur entweder das eine oder das andere.
Zumindest mit IKE.

es geht also nur AH oder ESP, beides zusammen leider (noch?) nicht