Openswan - prośba o pomoc

[m@rgaret]

Cześć,

Próbuję połączyć się ze swoim biurem przy pomocy OpenSwan.
Zainstalowałam nawet VirtualBox-a, z wirtualnej maszyny XP połączenie
nawiązuję bez problemu, ale z mojego linuksa jakoś nie mogę.
Postępuję wg instrukcji z
http://www.jacco2.dds.nl/networking/linux-l2tp.html
Autoryzacja odbywa się przy pomocy PSK, a więc w ipsec.conf dopisałam:
conn L2TP-PSK-CLIENT
#
# ----------------------------------------------------------
# Use a Preshared Key. Disable Perfect Forward Secrecy.
# Initiate rekeying.
# Connection type _must_ be Transport Mode.
#
authby=secret
pfs=no
rekey=no
keyingtries=3
type=transport
#
# ----------------------------------------------------------
# The local Linux machine that connects as a client.
#
# The external network interface is used to connect to the server.
# If you want to use a different interface or if there is no
# defaultroute, you can use: left=your.ip.addr.ess
left=%defaultroute
#
leftprotoport=17/1701
#
# ----------------------------------------------------------
# The remote server.
#
# Connect to the server at this IP address.
right=x.x.x.x #tutaj adres IP mojego biurowego VPN
#
rightprotoport=17/1701
# ----------------------------------------------------------
#
# Change 'ignore' to 'add' to enable this configuration.
#
auto=ignore

Dopisałam PSK w ipsec.secrets. Próbuję się połączyć i niestety:
unix:/etc # ipsec auto --up L2TP-PSK-CLIENT
104 "L2TP-PSK-CLIENT" #4: STATE_MAIN_I1: initiate
003 "L2TP-PSK-CLIENT" #4: ignoring unknown Vendor ID payload
[4f4574514070784e717f5760]
003 "L2TP-PSK-CLIENT" #4: received Vendor ID payload [Dead Peer Detection]
003 "L2TP-PSK-CLIENT" #4: received Vendor ID payload [RFC 3947] method
set to=110
106 "L2TP-PSK-CLIENT" #4: STATE_MAIN_I2: sent MI2, expecting MR2
003 "L2TP-PSK-CLIENT" #4: NAT-Traversal: Result using RFC 3947
(NAT-Traversal): no NAT detected
108 "L2TP-PSK-CLIENT" #4: STATE_MAIN_I3: sent MI3, expecting MR3
010 "L2TP-PSK-CLIENT" #4: STATE_MAIN_I3: retransmission; will wait 20s
for response
003 "L2TP-PSK-CLIENT" #4: discarding duplicate packet; already STATE_MAIN_I3
003 "L2TP-PSK-CLIENT" #4: discarding duplicate packet; already STATE_MAIN_I3
010 "L2TP-PSK-CLIENT" #4: STATE_MAIN_I3: retransmission; will wait 40s
for response
031 "L2TP-PSK-CLIENT" #4: max number of retransmissions (2) reached
STATE_MAIN_I3. Possible authentication failure: no acceptable response
to our first encrypted message
000 "L2TP-PSK-CLIENT" #4: starting keying attempt 2 of at most 3, but
releasing whack

Szukam, czytam dokumentację, na razie brak pomysłów. Jakieś typy ?
Szukam dwóch tropów "discarding duplicate packet; already STATE_MAIN_I3"
i "Possible authentication failure: no acceptable response to our first
encrypted message", na razie bez skutku. Ktokolwiek widział, ktokolwiek
wie ... ;)

Pozdrawiam
MK

[Stachu 'Dozzie' K.]

On 17.01.2008, m@rgaret <go...@kuczek.pl> wrote:
> Cześć,
>
> Próbuję połączyć się ze swoim biurem przy pomocy OpenSwan.
> Zainstalowałam nawet VirtualBox-a, z wirtualnej maszyny XP połączenie
> nawiązuję bez problemu, ale z mojego linuksa jakoś nie mogę.
> Postępuję wg instrukcji z
> http://www.jacco2.dds.nl/networking/linux-l2tp.html
> Autoryzacja odbywa się przy pomocy PSK, a więc w ipsec.conf dopisałam:

PSK nie ma nic wspólnego z autoryzacją, jeśli chodzi o terminologię.

> 108 "L2TP-PSK-CLIENT" #4: STATE_MAIN_I3: sent MI3, expecting MR3

To oznacza, że initiator (łączący się) wysłał trzeci komunikat, więc
otrzymał drugi od respondera. Punkt 5.4, strona 16, RFC 2409. Dla
przypomnienia, tryb main, nie aggressive.

> 010 "L2TP-PSK-CLIENT" #4: STATE_MAIN_I3: retransmission; will wait 20s
> for response
> 003 "L2TP-PSK-CLIENT" #4: discarding duplicate packet; already STATE_MAIN_I3
> 003 "L2TP-PSK-CLIENT" #4: discarding duplicate packet; already STATE_MAIN_I3

To oznacza, że inicjator otrzymał kolejne drugie pakiety od respondera,
co z kolei oznacza, że responder nie uznał wysłanych wcześniej obu
trzecich komunikatów. Dlatego...

> 031 "L2TP-PSK-CLIENT" #4: max number of retransmissions (2) reached
> STATE_MAIN_I3. Possible authentication failure: no acceptable response
> to our first encrypted message

...ta podpowiedź wydaje się prawidłowa.

> Szukam, czytam dokumentację, na razie brak pomysłów. Jakieś typy ?

Logi? Zrzut komunikacji tcpdumpem?

> Szukam dwóch tropów "discarding duplicate packet; already STATE_MAIN_I3"
> i "Possible authentication failure: no acceptable response to our first
> encrypted message", na razie bez skutku.

Skup się na drugim. Pierwszy to normalna odpowiedź na retransmisję,
która jest takim popędzeniem rozmówcy.

--
Secunia non olet.
Stanislaw Klekot