Vertike Laszlo
2004-10-20 09:07:06 UTC
Hello,
Egyik ügyfelünket össze kellene kötnöm ipsec-en a SAP AG-vel remote
supporthoz. Ehhez küldtek 1 shared key-t, meg a tuloldali gw-t és a mögötte
levö net-et + "Encryption: ESP - Triple DES with MD5 Integrity IKE and
Diffie-Hellman Group: Triple DES with Group".
Eléggé kezd? vagyok ipsec-ben de freeswan - freeswan kapcsolatot RSA
kulcsokkal már csináltam. Ez azonban kifog rajtam. Bármilyen authentikációt
próbálok (auth=esp v. ah) a kapcsolat felépülése megakad ebben az
állapotban:
000 interface ipsec0/eth0 212.92.22.33
000 %myid = (none)
000 debug crypt+parsing+control+klips+private
000
000 "sapsupport": localnet===localgw---defgw...sapgw===sapnet; prospective erouted; eroute owner: #0
000 "sapsupport": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "sapsupport": policy: PSK+ENCRYPT+AUTHENTICATE+TUNNEL+PFS+UP; prio: 32,30; interface: eth0;
000 "sapsupport": newest ISAKMP SA: #0; newest IPsec SA: #0;
000 "sapsupport": IKE algorithms wanted: 5_000-1-5, 5_000-2-5, 5_000-1-2, 5_000-2-2, flags=-strict
000 "sapsupport": IKE algorithms found: 5_192-1_128-5, 5_192-2_160-5, 5_192-1_128-2, 5_192-2_160-2,
000 "sapsupport": ESP algorithms wanted: 3_000-1, flags=-strict
000 "sapsupport": ESP algorithms loaded: 3_168-1_096,
000
000 #1: "sapsupport" STATE_MAIN_I3 (sent MI3, expecting MR3); EVENT_RETRANSMIT in 6s
000 #1: pending Phase 2 for "sapsupport" replacing #0
A syslogbol azt hiszem ez tartozik ide:
Oct 20 10:08:32 mail pluto[19525]: "sapsupport" #3: encrypted Informational
Exchange message is invalid because it is for incomplete ISAKMP SA
ipsec.conf idevágó része (ip cimek kiszedése után):
conn sapsupport
type=tunnel
pfs=yes # default, de biztos ami biztos
authby=secret # %default-ban rsasig, ezert ez kell
auth=ah
ah=hmac-md5-96
# ah=hmac-sha1-96
# auth=esp
esp=3des-md5-96
left=localgw
leftsubnet=localnet
leftnexthop=defgw
right=sapgw
rightsubnet=sapnet
backport.org-os freeswan 2.04 csomagot használnám debian woody-n.
Ha valaki csinélt már SAP AG felé ipsec kapcsolatot freeswannal /
openswannal / nativ 2.6-os ipsec-el, vagy egyszer?en csak tudja mit bénázok
el, kérem segítsen :)
Segítségnek számít az is , ha átirányíttok egy megfelel?bb listára,
amennyiben ez itt off. Magánban küldök ipsec barf kimenetet, ha kell.
Köszönettel:
Vertike László
Ps: Listát digestben kapom, ezért egy cc-nek külön örülnék.
Egyik ügyfelünket össze kellene kötnöm ipsec-en a SAP AG-vel remote
supporthoz. Ehhez küldtek 1 shared key-t, meg a tuloldali gw-t és a mögötte
levö net-et + "Encryption: ESP - Triple DES with MD5 Integrity IKE and
Diffie-Hellman Group: Triple DES with Group".
Eléggé kezd? vagyok ipsec-ben de freeswan - freeswan kapcsolatot RSA
kulcsokkal már csináltam. Ez azonban kifog rajtam. Bármilyen authentikációt
próbálok (auth=esp v. ah) a kapcsolat felépülése megakad ebben az
állapotban:
000 interface ipsec0/eth0 212.92.22.33
000 %myid = (none)
000 debug crypt+parsing+control+klips+private
000
000 "sapsupport": localnet===localgw---defgw...sapgw===sapnet; prospective erouted; eroute owner: #0
000 "sapsupport": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "sapsupport": policy: PSK+ENCRYPT+AUTHENTICATE+TUNNEL+PFS+UP; prio: 32,30; interface: eth0;
000 "sapsupport": newest ISAKMP SA: #0; newest IPsec SA: #0;
000 "sapsupport": IKE algorithms wanted: 5_000-1-5, 5_000-2-5, 5_000-1-2, 5_000-2-2, flags=-strict
000 "sapsupport": IKE algorithms found: 5_192-1_128-5, 5_192-2_160-5, 5_192-1_128-2, 5_192-2_160-2,
000 "sapsupport": ESP algorithms wanted: 3_000-1, flags=-strict
000 "sapsupport": ESP algorithms loaded: 3_168-1_096,
000
000 #1: "sapsupport" STATE_MAIN_I3 (sent MI3, expecting MR3); EVENT_RETRANSMIT in 6s
000 #1: pending Phase 2 for "sapsupport" replacing #0
A syslogbol azt hiszem ez tartozik ide:
Oct 20 10:08:32 mail pluto[19525]: "sapsupport" #3: encrypted Informational
Exchange message is invalid because it is for incomplete ISAKMP SA
ipsec.conf idevágó része (ip cimek kiszedése után):
conn sapsupport
type=tunnel
pfs=yes # default, de biztos ami biztos
authby=secret # %default-ban rsasig, ezert ez kell
auth=ah
ah=hmac-md5-96
# ah=hmac-sha1-96
# auth=esp
esp=3des-md5-96
left=localgw
leftsubnet=localnet
leftnexthop=defgw
right=sapgw
rightsubnet=sapnet
backport.org-os freeswan 2.04 csomagot használnám debian woody-n.
Ha valaki csinélt már SAP AG felé ipsec kapcsolatot freeswannal /
openswannal / nativ 2.6-os ipsec-el, vagy egyszer?en csak tudja mit bénázok
el, kérem segítsen :)
Segítségnek számít az is , ha átirányíttok egy megfelel?bb listára,
amennyiben ez itt off. Magánban küldök ipsec barf kimenetet, ha kell.
Köszönettel:
Vertike László
Ps: Listát digestben kapom, ezért egy cc-nek külön örülnék.