kann ipsec nicht mehr stoppen

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
ccc
Posts: 55
Joined: 2004-02-19 12:02

kann ipsec nicht mehr stoppen

Post by ccc » 2006-03-01 15:57

hallo

habe debian sarge stable als ipsec server (gateway) eingerichtet.
wenn ich ipsec einmal starte:

Code: Select all

# /etc/init.d/ipsec start
ipsec_setup: Starting FreeS/WAN IPsec 2.04...
ipsec_setup: insmod: ipsec: no module by that name found
ipsec_setup: /sbin/insmod /lib/modules/2.4.27-2-386/kernel/net/key/af_key.o
ipsec_setup: Using /lib/modules/2.4.27-2-386/kernel/net/key/af_key.o
ipsec_setup: Symbol version prefix ''
ipsec_setup: /sbin/insmod -q /lib/modules/2.4.27-2-386/kernel/net/ipv4/ah4.o
ipsec_setup: Using /lib/modules/2.4.27-2-386/kernel/net/ipv4/ah4.o
ipsec_setup: Symbol version prefix ''
ipsec_setup: /sbin/insmod -q /lib/modules/2.4.27-2-386/kernel/net/ipv4/esp4.o
ipsec_setup: Using /lib/modules/2.4.27-2-386/kernel/net/ipv4/esp4.o
ipsec_setup: Symbol version prefix ''
ipsec_setup: /sbin/insmod -q /lib/modules/2.4.27-2-386/kernel/net/ipv4/ipcomp.o
ipsec_setup: Using /lib/modules/2.4.27-2-386/kernel/net/ipv4/ipcomp.o
ipsec_setup: Symbol version prefix ''
ipsec_setup: /sbin/insmod -q /lib/modules/2.4.27-2-386/kernel/net/xfrm/xfrm_user.o
ipsec_setup: Using /lib/modules/2.4.27-2-386/kernel/net/xfrm/xfrm_user.o
ipsec_setup: Symbol version prefix ''
ipsec_setup: WARNING: setkey not found.
kann nicht mehr beenden:

Code: Select all

 
# /etc/init.d/ipsec stop
ipsec_setup: Stopping FreeS/WAN IPsec...
ipsec_setup: Attempt to shut Pluto down failed!  Trying kill:
ipsec_setup: /usr/lib/ipsec/_realsetup: line 1: kill: (2192) - Kein passender Prozess gefunden
und er läuft einfach weiter.
auch wenn ich process kille, startet wieder !

Code: Select all

# cat /etc/ipsec.conf

# basic configuration
config setup
    interfaces=%defaultroute
    #interfaces="ipsec0=eth0"
    klipsdebug=none
    plutodebug=none
    #plutoload=%search
    #plutostart=%search

    uniqueids=yes
    forwardcontrol=yes
    #Enable NAT-Traversal
    #nat_traversal=yes


# defaults for subsequent connection descriptions
# (these defaults will soon go away)
conn %default
    keyingtries=0
    disablearrivalcheck=no
    leftrsasigkey=%dnsondemand
    rightrsasigkey=%dnsondemand
    #compress=yes

# sample VPN connection
conn Firebox1
    authby=secret
    left=202.X.X.10
    leftnexthop=202.X.X.1
    leftsubnet=192.168.0.0/24
    right=202.X.X.10
    rightnexthop=202.X.X.1
    rightsubnet=192.168.115.0/24
    keyexchange=ike
    pfs=yes
    auto=start

conn Firebox2
    authby=secret
    left=202.X.X.10
    leftnexthop=202.X.X.1
    leftsubnet=10.0.0.0/8
    right=202.X.X.10
    rightnexthop=202.X.X.1
    rightsubnet=192.168.115.0/24
    keyexchange=ike
    pfs=yes
    auto=start

conn Firebox3
    authby=secret
    left=202.X.X.10
    leftnexthop=202.X.X.1
    leftsubnet=192.168.1.0/24
    right=202.X.X.10
    rightnexthop=202.X.X.1
    rightsubnet=192.168.115.0/24
    keyexchange=ike
    pfs=yes
    auto=start
hat jemand idee, was da falsch ist ?

lord_pinhead
RSAC
Posts: 830
Joined: 2004-04-26 15:57

Re: kann ipsec nicht mehr stoppen

Post by lord_pinhead » 2006-03-01 23:05

Hängt es vielleicht daran das er die eth0 nicht mit runterfahren kann bzw. an welcher Schnittstelle er liegt? Wenn du einen lokalen Zugriff hast, fahr mal alle Schnittstellen runter und kille den Prozess.

ccc
Posts: 55
Joined: 2004-02-19 12:02

Re: kann ipsec nicht mehr stoppen

Post by ccc » 2006-03-02 01:38

problem gelöst !

habe geändert in /etc/ipsec.conf von:

interfaces=%defaultroute

zu

interfaces="ipsec0=eth0"

und jetzt scheint bestens zu klappen.

gruss
ccc

ccc
Posts: 55
Joined: 2004-02-19 12:02

Re: kann ipsec nicht mehr stoppen

Post by ccc » 2006-03-02 02:08

habe nur noch ein problem

weiss jemand wie ich diese FAILED oder MISSING probleme beheben kann ?

Code: Select all

# ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux FreeS/WAN U2.04/K(no kernel code presently loaded)
Checking for KLIPS support in kernel [FAILED]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is running [OK]
Two or more interfaces found, checking IP forwarding [OK]
Checking NAT and MASQUERADEing

Opportunistic Encryption DNS checks:
Looking for TXT in forward map: ext.domain.net [MISSING]
Does the machine have at least one non-private address? [FAILED]

lord_pinhead
RSAC
Posts: 830
Joined: 2004-04-26 15:57

Re: kann ipsec nicht mehr stoppen

Post by lord_pinhead » 2006-03-04 02:10

KLIPS dürfte der Kernelcode sein, also das Kernel Modul
"Looking for TXT in forward map" deutet auf ein DNS Problem hin, wie stehts mit dem Tunnelaufbau, funktioniert er?

ccc
Posts: 55
Joined: 2004-02-19 12:02

Re: kann ipsec nicht mehr stoppen

Post by ccc » 2006-03-04 18:10

Tunnelaufbau funktioniert einwandfrei

lord_pinhead
RSAC
Posts: 830
Joined: 2004-04-26 15:57

Re: kann ipsec nicht mehr stoppen

Post by lord_pinhead » 2006-03-04 19:12

Dann solltest du dir denke ich keine großen Sorgen machen wenn alles klappt. Bei den DNS Eintrag dürfte es nur ein fehler beim Auflösen sein, vielleicht ein Record falsch gesetzt und in den Kernel habe ich bisher auch kein ipsec module eingebaut, läuft alles ausserhalb und funktioniert genausogut.