Wer kennt sich mit StrongSwan (ipsec) aus?

kls · 5. April 2015

Ich bin gerade dabei, meinen Web-Server auf eine neue Hardware mit virtuellen Maschinen umzuziehen und bin dabei auf das Problem gestoßen, daß anscheinend StrongSwan nicht mehr so ohne weiteres funktioniert. Ich benutze das bisher auf meinem alten Server, um ein VPN zwischen dem Server und meinem Router zuhause aufzubauen, was auch all die Jahre wunderbar funktioniert hat. Aber einfach die bestehenden Konfigurationsdateien rüberkopieren und anzupassen (Rechnername, IP-Nummer) scheint nicht zu reichen, denn beim Start liefert StrongSwan jede Menge Fehlermeldungen im Log:

StrongSwan Log

Code

Apr  5 14:39:19 racoon2 ipsec[21343]: Starting strongSwan 5.1.3 IPsec [starter]...
Apr  5 14:39:19 racoon2 ipsec_starter[21343]: Starting strongSwan 5.1.3 IPsec [starter]...
Apr  5 14:39:19 racoon2 charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.1.3, Linux 3.16.7-7-default, x86_64)
Apr  5 14:39:19 racoon2 charon: 00[LIB] openssl FIPS mode(0) - disabled
Apr  5 14:39:19 racoon2 charon: 00[CFG] could not bind XML socket: No such file or directory
Apr  5 14:39:19 racoon2 charon: 00[LIB] plugin 'smp': failed to load - smp_plugin_create returned NULL
Apr  5 14:39:19 racoon2 charon: 00[CFG] HA config misses local/remote address
Apr  5 14:39:19 racoon2 charon: 00[LIB] plugin 'ha': failed to load - ha_plugin_create returned NULL
Apr  5 14:39:19 racoon2 charon: 00[NET] binding socket 'unix:///run/strongswan/charon.dck' failed: No such file or directory
Apr  5 14:39:19 racoon2 charon: 00[CFG] creating duplicheck socket failed
Apr  5 14:39:19 racoon2 charon: 00[LIB] plugin 'duplicheck': failed to load - duplicheck_plugin_create returned NULL
Apr  5 14:39:19 racoon2 charon: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
Apr  5 14:39:19 racoon2 charon: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
Apr  5 14:39:19 racoon2 charon: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
Apr  5 14:39:19 racoon2 charon: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
Apr  5 14:39:19 racoon2 charon: 00[CFG] loading crls from '/etc/ipsec.d/crls'
Apr  5 14:39:19 racoon2 charon: 00[CFG] loading secrets from '/etc/ipsec.secrets'
Apr  5 14:39:19 racoon2 charon: 00[LIB]   opening '/etc/ipsec.d/private/{' failed: No such file or directory
Apr  5 14:39:19 racoon2 charon: 00[LIB] building CRED_PRIVATE_KEY - RSA failed, tried 11 builders
Apr  5 14:39:19 racoon2 charon: 00[CFG]   loading private key from '/etc/ipsec.d/private/{' failed
Apr  5 14:39:19 racoon2 charon: 00[CFG] line 16: missing ' : ' separator
Apr  5 14:39:19 racoon2 charon: 00[NET] binding socket 'unix:///run/strongswan/charon.ctl' failed: No such file or directory
Apr  5 14:39:19 racoon2 charon: 00[CFG] creating stroke socket failed
Apr  5 14:39:19 racoon2 charon: 00[CFG] opening triplet file /etc/ipsec.d/triplets.dat failed: No such file or directory
Apr  5 14:39:19 racoon2 charon: 00[CFG] loaded 0 RADIUS server configurations
Apr  5 14:39:19 racoon2 charon: 00[TNC] TNC recommendation policy is 'default'
Apr  5 14:39:19 racoon2 charon: 00[TNC] loading IMVs from '/etc/tnc_config'
Apr  5 14:39:19 racoon2 charon: 00[TNC] opening configuration file '/etc/tnc_config' failed: No such file or directory
Apr  5 14:39:19 racoon2 charon: 00[CFG] missing PDP server name, PDP disabled
Apr  5 14:39:19 racoon2 charon: 00[TNC] loading IMCs from '/etc/tnc_config'
Apr  5 14:39:19 racoon2 charon: 00[TNC] opening configuration file '/etc/tnc_config' failed: No such file or directory
Apr  5 14:39:19 racoon2 charon: 00[CFG] coupling file path unspecified
Apr  5 14:39:19 racoon2 charon: 00[LIB] loaded plugins: charon curl soup ldap pkcs11 aes des blowfish rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt af-alg fips-prf gmp agent xcbc cmac hmac ctr ccm gcm attr kernel-netlink resolve socket-default farp updown eap-identity eap-sim eap-sim-pcsc eap-aka eap-aka-3gpp2 eap-simaka-pseudonym eap-simaka-reauth eap-md5 eap-gtc eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap eap-tnc xauth-generic xauth-eap xauth-pam tnc-imc tnc-imv tnc-tnccs tnccs-20 tnccs-11 tnccs-dynamic dhcp certexpire led radattr addrblock unity
Apr  5 14:39:19 racoon2 charon: 00[LIB] unable to load 16 plugin features (12 due to unmet dependencies)
Apr  5 14:39:19 racoon2 charon: 00[LIB] dropped capabilities, running as uid 0, gid 0
Apr  5 14:39:19 racoon2 charon: 00[JOB] spawning 16 worker threads
Apr  5 14:39:29 racoon2 ipsec_starter[21343]: charon too long to start... - kill kill
Apr  5 14:39:29 racoon2 charon: 00[DMN] signal of type SIGINT received. Shutting down
Apr  5 14:39:29 racoon2 ipsec[21343]: charon too long to start... - kill kill
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[DMN] Starting IKE charon daemon (strongSwan 5.1.3, Linux 3.16.7-7-default, x86_64)
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[LIB] openssl FIPS mode(0) - disabled
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[CFG] could not bind XML socket: No such file or directory
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[LIB] plugin 'smp': failed to load - smp_plugin_create returned NULL
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[CFG] HA config misses local/remote address
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[LIB] plugin 'ha': failed to load - ha_plugin_create returned NULL
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[NET] binding socket 'unix:///run/strongswan/charon.dck' failed: No such file or directory
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[CFG] creating duplicheck socket failed
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[LIB] plugin 'duplicheck': failed to load - duplicheck_plugin_create returned NULL
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[CFG] loading crls from '/etc/ipsec.d/crls'
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[CFG] loading secrets from '/etc/ipsec.secrets'
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[LIB]   opening '/etc/ipsec.d/private/{' failed: No such file or directory
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[LIB] building CRED_PRIVATE_KEY - RSA failed, tried 11 builders
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[CFG]   loading private key from '/etc/ipsec.d/private/{' failed 
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[CFG] line 16: missing ' : ' separator
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[NET] binding socket 'unix:///run/strongswan/charon.ctl' failed: No such file or directory
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[CFG] creating stroke socket failed
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[CFG] opening triplet file /etc/ipsec.d/triplets.dat failed: No such file or directory
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[CFG] loaded 0 RADIUS server configurations
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[TNC] TNC recommendation policy is 'default'
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[TNC] loading IMVs from '/etc/tnc_config'
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[TNC] opening configuration file '/etc/tnc_config' failed: No such file or directory
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[CFG] missing PDP server name, PDP disabled
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[TNC] loading IMCs from '/etc/tnc_config'
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[TNC] opening configuration file '/etc/tnc_config' failed: No such file or directory
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[CFG] coupling file path unspecified
Apr  5 14:39:29 racoon2 ipsec_starter[21343]: charon has died -- restart scheduled (5sec)
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[LIB] loaded plugins: charon curl soup ldap pkcs11 aes des blowfish rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt af-alg fips-prf gmp agent xcbc cmac hmac ctr ccm gcm attr kernel-netlink resolve socket-default farp updown eap-identity eap-sim eap-sim-pcsc eap-aka eap-aka-3gpp2 eap-simaka-pseudonym eap-simaka-reauth eap-md5 eap-gtc eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap eap-tnc xauth-generic xauth-eap xauth-pam tnc-imc tnc-imv tnc-tnccs tnccs-20 tnccs-11 tnccs-dynamic dhcp certexpire led radattr addrblock unity
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[LIB] unable to load 16 plugin features (12 due to unmet dependencies)
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[LIB] dropped capabilities, running as uid 0, gid 0
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[JOB] spawning 16 worker threads
Apr  5 14:39:29 racoon2 ipsec[21343]: 00[DMN] signal of type SIGINT received. Shutting down
Apr  5 14:39:29 racoon2 ipsec[21343]: charon has died -- restart scheduled (5sec)

Alles anzeigen

So geht das dann im Abstand von einigen Sekunden immer wieder von vorne los.
Bevor ich jetzt anfange, die Fehlermeldungen im einzelnen zu verstehen zu versuchen (wobei ich den Verdacht habe, daß einiges davon einfach nur daher kommt, daß bestimmte Sachen, die ich eh nicht brauche, nicht vorhanden sind), wollte ich mal fragen ob hier jemand Erfahrung mit dem Umstieg von StrongSwan Version 4.5.3 auf 5.1.3 hat (das sind die Versionen auf dem alten und neuen Server). Eventuell muß man ja nur Kleinigkeiten anpassen. Eine wirklich brauchbare Umstiegsanleitung habe ich im Web leider nicht gefunden.

Die ipsec-Konfiguration sieht so aus:

ipsec.conf

Den Parameter "leftnexthop" habe ich schon auskommentiert, da der inzwischen obsolete sein soll.

Wäre für jeden Hinweis dankbar.

Klaus

kls · 5. April 2015

Inzwischen bin ich einen kleinen Schritt weiter gekommen. Die Meldung

Apr 5 14:39:19 racoon2 charon: 00[LIB] opening '/etc/ipsec.d/private/{' failed: No such file or directory

kommt wohl daher, daß sich das Format der Datei ipsec.secrets geändert hat. Bisher konnte da sowas drinstehen:

Code

@racoon2.tvdr.de: RSA {
        Modulus: 0x69f81f353a2e5a465aaefac...
        PublicExponent: 0x03
        PrivateExponent: 0x11a95a88df07b9b66...
        Prime1: 0xd069b9ff95931689bf46d8bf94...
        Prime2: 0x822a4b6e7c84cb397d243d43...
        Exponent1: 0x8af126aa63b7645bd4d9e...
        Exponent2: 0x56c6dcf453033226536d7...
        Coefficient: 0x651d36c4acc094875372...
        }

aber jetzt scheint nur noch

Code

@racoon2.tvdr.de : RSA racoon2.pem

gültig zu sein. Die Klammer '{' wurde also als Dateiname interpretiert, und eine solche Datei gab es nicht.

Ich habe also jetzt ipsec.secrets entsprechend geändert und die Schlüssel-Daten nach /etc/ipsec.d/private/racoon2.pem verlagert. Das bringt mir aber nun die Meldung

Code

Apr  5 17:10:28 racoon2 charon: 00[CFG] loading secrets from '/etc/ipsec.secrets'
Apr  5 17:10:28 racoon2 charon: 00[LIB]   file coded in unknown format, discarded
Apr  5 17:10:28 racoon2 charon: 00[LIB] building CRED_PRIVATE_KEY - RSA failed, tried 11 builders
Apr  5 17:10:28 racoon2 charon: 00[CFG]   loading private key from '/etc/ipsec.d/private/racoon2.pem' failed

wobei sich das "file coded in unknown format, discarded" wohl auf die /etc/ipsec.d/private/racoon2.pem bezieht, und nicht, wie man auf den ersten Blick vermuten möchte, auf /etc/ipsec.secrets, denn wenn ich die racoon2.pem lösche, erhalte ich

Code

Apr  5 17:18:10 racoon2 charon: 00[CFG] loading secrets from '/etc/ipsec.secrets'
Apr  5 17:18:10 racoon2 charon: 00[LIB]   opening '/etc/ipsec.d/private/racoon2.pem' failed: No such file or directory
Apr  5 17:18:10 racoon2 charon: 00[LIB] building CRED_PRIVATE_KEY - RSA failed, tried 11 builders
Apr  5 17:18:10 racoon2 charon: 00[CFG]   loading private key from '/etc/ipsec.d/private/racoon2.pem' failed

Jetzt ist also die Frage, wie die Datei aussehen muß. Der Inhalt

Code

Modulus: 0x69f81f353a2e5a465aaefac...
PublicExponent: 0x03
PrivateExponent: 0x11a95a88df07b9b66...
Prime1: 0xd069b9ff95931689bf46d8bf94...
Prime2: 0x822a4b6e7c84cb397d243d43...
Exponent1: 0x8af126aa63b7645bd4d9e...
Exponent2: 0x56c6dcf453033226536d7...
Coefficient: 0x651d36c4acc094875372...

wird ja als "unknown format" abgelehnt.
Leider weiß ich auch nicht, wie man überhaupt so einen Key neu erstellen sollte, denn das bisherige

ipsec rsasigkey

gibt es wohl nicht mehr ("/usr/sbin/ipsec: unknown IPsec command `rsasigkey'").

Klaus

seahawk1986 · 5. April 2015

Zitat von kls

Leider weiß ich auch nicht, wie man überhaupt so einen Key neu erstellen sollte, denn das bisherige

ipsec rsasigkey

gibt es wohl nicht mehr ("/usr/sbin/ipsec: unknown IPsec command `rsasigkey'").

Das müsste z.B. mit openssl möglich sein: https://www.strongswan.org/docs/readme4.htm#section_3

kls · 6. April 2015

Das ist irgendwie alles nicht das, was ich suche. Ich will keine Zertifizierung, sondern einfach nur einen RSA-Key für eine VPN-Verbindung, so wie das in Version 4.5.3 wunderbar einfach funktioniert hat. Aber anscheinend hat da mal wieder jemand sich selbst verwirklicht und alles mögliche "verschlimmbessert"...

Ich habe jetzt in /etc/ipsec.secrets sowas eingetragen:

@racoon2.tvdr.de : PSK "xxxxxxxxx"

Das sollte ja auch gehen. Ist zwar wohl nicht so sicher wie RSA, aber das ist mir momentan auch egal.
Das Log enthält damit

StrongSwan Log

Code

Apr  5 23:59:43 racoon2 ipsec[27987]: Starting strongSwan 5.1.3 IPsec [starter]...
Apr  5 23:59:43 racoon2 ipsec_starter[27987]: Starting strongSwan 5.1.3 IPsec [starter]...
Apr  5 23:59:43 racoon2 charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.1.3, Linux 3.16.7-7-default, x86_64)
Apr  5 23:59:43 racoon2 charon: 00[LIB] openssl FIPS mode(0) - disabled
Apr  5 23:59:43 racoon2 charon: 00[CFG] could not bind XML socket: No such file or directory
Apr  5 23:59:43 racoon2 charon: 00[LIB] plugin 'smp': failed to load - smp_plugin_create returned NULL
Apr  5 23:59:43 racoon2 charon: 00[CFG] HA config misses local/remote address
Apr  5 23:59:43 racoon2 charon: 00[LIB] plugin 'ha': failed to load - ha_plugin_create returned NULL
Apr  5 23:59:43 racoon2 charon: 00[NET] binding socket 'unix:///run/strongswan/charon.dck' failed: No such file or directory
Apr  5 23:59:43 racoon2 charon: 00[CFG] creating duplicheck socket failed
Apr  5 23:59:43 racoon2 charon: 00[LIB] plugin 'duplicheck': failed to load - duplicheck_plugin_create returned NULL
Apr  5 23:59:43 racoon2 charon: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
Apr  5 23:59:43 racoon2 charon: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
Apr  5 23:59:43 racoon2 charon: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
Apr  5 23:59:43 racoon2 charon: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
Apr  5 23:59:43 racoon2 charon: 00[CFG] loading crls from '/etc/ipsec.d/crls'
Apr  5 23:59:43 racoon2 charon: 00[CFG] loading secrets from '/etc/ipsec.secrets'
Apr  5 23:59:43 racoon2 charon: 00[CFG]   loaded IKE secret for @racoon2.tvdr.de
Apr  5 23:59:43 racoon2 charon: 00[NET] binding socket 'unix:///run/strongswan/charon.ctl' failed: No such file or directory
Apr  5 23:59:43 racoon2 charon: 00[CFG] creating stroke socket failed
Apr  5 23:59:43 racoon2 charon: 00[CFG] opening triplet file /etc/ipsec.d/triplets.dat failed: No such file or directory
Apr  5 23:59:43 racoon2 charon: 00[CFG] loaded 0 RADIUS server configurations
Apr  5 23:59:43 racoon2 charon: 00[TNC] TNC recommendation policy is 'default'
Apr  5 23:59:43 racoon2 charon: 00[TNC] loading IMVs from '/etc/tnc_config'
Apr  5 23:59:43 racoon2 charon: 00[TNC] opening configuration file '/etc/tnc_config' failed: No such file or directory
Apr  5 23:59:43 racoon2 charon: 00[CFG] missing PDP server name, PDP disabled
Apr  5 23:59:43 racoon2 charon: 00[TNC] loading IMCs from '/etc/tnc_config'
Apr  5 23:59:43 racoon2 charon: 00[TNC] opening configuration file '/etc/tnc_config' failed: No such file or directory
Apr  5 23:59:43 racoon2 charon: 00[CFG] coupling file path unspecified
Apr  5 23:59:43 racoon2 charon: 00[LIB] loaded plugins: charon curl soup ldap pkcs11 aes des blowfish rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt af-alg fips-prf gmp agent xcbc cmac hmac ctr ccm gcm attr kernel-netlink resolve socket-default farp updown eap-identity eap-sim eap-sim-pcsc eap-aka eap-aka-3gpp2 eap-simaka-pseudonym eap-simaka-reauth eap-md5 eap-gtc eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap eap-tnc xauth-generic xauth-eap xauth-pam tnc-imc tnc-imv tnc-tnccs tnccs-20 tnccs-11 tnccs-dynamic dhcp certexpire led radattr addrblock unity
Apr  5 23:59:43 racoon2 charon: 00[LIB] unable to load 16 plugin features (12 due to unmet dependencies)
Apr  5 23:59:43 racoon2 charon: 00[LIB] dropped capabilities, running as uid 0, gid 0
Apr  5 23:59:43 racoon2 charon: 00[JOB] spawning 16 worker threads
Apr  5 23:59:53 racoon2 ipsec_starter[27987]: charon too long to start... - kill kill
Apr  5 23:59:53 racoon2 charon: 00[DMN] signal of type SIGINT received. Shutting down
Apr  5 23:59:53 racoon2 ipsec[27987]: charon too long to start... - kill kill
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[DMN] Starting IKE charon daemon (strongSwan 5.1.3, Linux 3.16.7-7-default, x86_64)
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[LIB] openssl FIPS mode(0) - disabled
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[CFG] could not bind XML socket: No such file or directory
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[LIB] plugin 'smp': failed to load - smp_plugin_create returned NULL
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[CFG] HA config misses local/remote address
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[LIB] plugin 'ha': failed to load - ha_plugin_create returned NULL
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[NET] binding socket 'unix:///run/strongswan/charon.dck' failed: No such file or directory
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[CFG] creating duplicheck socket failed
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[LIB] plugin 'duplicheck': failed to load - duplicheck_plugin_create returned NULL
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[CFG] loading crls from '/etc/ipsec.d/crls'
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[CFG] loading secrets from '/etc/ipsec.secrets'
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[CFG]   loaded IKE secret for @racoon2.tvdr.de
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[NET] binding socket 'unix:///run/strongswan/charon.ctl' failed: No such file or directory
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[CFG] creating stroke socket failed
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[CFG] opening triplet file /etc/ipsec.d/triplets.dat failed: No such file or directory
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[CFG] loaded 0 RADIUS server configurations
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[TNC] TNC recommendation policy is 'default'
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[TNC] loading IMVs from '/etc/tnc_config'
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[TNC] opening configuration file '/etc/tnc_config' failed: No such file or directory
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[CFG] missing PDP server name, PDP disabled
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[TNC] loading IMCs from '/etc/tnc_config'
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[TNC] opening configuration file '/etc/tnc_config' failed: No such file or directory
Apr  5 23:59:53 racoon2 ipsec[27987]: 00[CFG] coupling file path unspecified
Apr  5 23:59:53 racoon2 ipsec_starter[27987]: charon has died -- restart scheduled (5sec)

Alles anzeigen

Das Secret wird also geladen, aber irgend etwas geht immer noch schief...

Klaus

iNOB · 6. April 2015

Versuch mal als PSK nur Zahlen und Buchstaben (Groß- und Kleinschreibung) zu verwenden, aber keine Sonderzeichen. Ich meine mich schwach zu entsinnen, dass IPSec damit Probleme hat.

iNOB

kls · 6. April 2015

Auch mit nur Buchstaben geht es leider nicht.

Klaus

kls · 6. April 2015

So, für alle, die es interessiert: die Fehlermeldungen der Art

binding socket 'unix:///run/strongswan/charon.dck' failed: No such file or directory

waren entscheidend. Ein Blick in /var/run ergab, daß es kein Subdirectory namens 'strongswan' gab. Nachdem ich das angelegt hatte startete "charon" zumindest mal, ohne nach ein paar Sekunden gleich wieder gekillt zu werden.

Warum /var/run/strongswan nicht automatisch angelegt wurde, ist mir ein Rätsel.

Dann kann ich jetzt endlich mit der eigentlichen Konfiguration weitermachen...

Klaus

kls · 6. April 2015

Die beiden Rechner "sprechen" jetzt zumindest schonmal miteinander. Aber anscheinend können sie sich noch nicht auf ein Verschlüsselungsverfahren einigen. Im Log erhalte ich jetzt

Code

Apr  6 15:40:45 racoon2 ipsec[5003]: 08[CFG] received proposals: ESP:AES_CBC_128/HMAC_SHA1_96/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_MD5_96/MODP_2048/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/MODP_2048/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/MODP_2048/NO_EXT_SEQ
Apr  6 15:40:45 racoon2 ipsec[5003]: 08[CFG] configured proposals: ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_128/AES_CBC_192/AES_CBC_256/3DES_CBC/BLOWFISH_CBC_256/HMAC_SHA1_96/AES_XCBC_96/HMAC_MD5_96/NO_EXT_SEQ
Apr  6 15:40:45 racoon2 ipsec[5003]: 08[IKE] received 28800s lifetime, configured 3600s
Apr  6 15:40:45 racoon2 ipsec[5003]: 08[IKE] no matching proposal found, sending NO_PROPOSAL_CHOSEN

Weiß jemand, wo man die "proposals" konfigurieren kann? Irgendwie finde ich da nichts...

Klaus

iNOB · 6. April 2015

Auf meiner IPFire lege ich die proposals in der ipsec.conf bzw. ipsec.user.conf in der conn für den User fest, z.B.:

Code

conn foo
...
ike=aes256-sha2_512-modp4096,aes256-sha2_384-modp4096,aes256-sha2_256-modp4096
esp=aes256-sha2_512-modp4096,aes256-sha2_384-modp4096,aes256-sha2_256-modp4096
...

Allerdings benutze ich Zertifikate und keinen PSK.

iNOB

kls · 6. April 2015

Ich schätze mal ob Zertifikate oder PSK macht da keinen Unterschied. Die Hürde ist, glaube ich, schon genommen.
Ich habe mal deine Zeilen verwendet, aber anscheinend haben da die verschiedenen Versionen schon wieder unterschiedliche Syntax, denn hier muß es wohl

aes256-sha2_512;modp4096

heißen statt

aes256-sha2_512-modp4096

(also ein ';' statt '-' zwischen "512" und "mod").

Aber auch damit klappt es nicht.
Auf http://linux.die.net/man/5/ipsec.conf habe ich jetzt noch folgendes gefunden:

sha2_truncbug
The default hash truncation for sha2_256 is 128 bits. Linux implemented the draft version which stated 96 bits. This option enables using the bad 96 bits version to interop with older linux kernels (unpatched version 2.6.33 and older) and openswan versions before 2.6.38. Currently the accepted values are no, (the default) signifying default IETF truncation of 128 bits, or yes, signifying 96 bits broken Linux kernel style truncation.

Mein Router verwendet openWRT mit Kernel 2.6.32.27, würde also wohl darunter fallen. Leider kennt aber StrongSwan auf meinem Server (Kernel 3.16.7-7) diese Option nicht.

Es ist zum Verzweifeln...

Klaus

kls · 7. April 2015

Der Vollständigkeit halber hier die Lösung, die mir jemand auf der strongSwan ML genannt hat: in der /etc/ipsec.conf die Zeile

esp=aes128-sha1-modp2048!

einfügen hat's gebracht!

Klaus

Wer kennt sich mit StrongSwan (ipsec) aus?

Jetzt mitmachen!

Teilen