Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 2049 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Static IP <-> Dynamic IP with RSA

ref
Hi all!

I read all documentation and of course followed it while configuring my systems. Im using ASL V4.021. One side with fixed IP also having  as remote connection point and using IPV4-Address as identifier. The other side is a DSL dynamic IP connection and using FQDN as identifier. Both RSA Keys have the same length (2048). No CA and stuff used. The config on the fixed IP host shows:

192.168.45.0/24===212.185.***.***...%any[@gate.refs-home.net]===10.1.0.0/16

The tunnel seems to be established for a very short time and then gets closed without any given reason. Here is one of these connection tries from the log:

2004-Apr 16 23:04:30 (none) pluto[8729]: Starting Pluto (FreeS/WAN Version super-freeswan-1.99.8)
2004-Apr 16 23:04:30 (none) pluto[8729]:   including X.509 patch with traffic selectors (Version 0.9.32)
2004-Apr 16 23:04:30 (none) pluto[8729]:   including NAT-Traversal patch (Version 0.6) [disabled]
2004-Apr 16 23:04:30 (none) pluto[8729]: ike_alg_register_enc(): Activating OAKLEY_DES_CBC: Ok (ret=0)
2004-Apr 16 23:04:30 (none) pluto[8729]: ike_alg_register_enc(): Activating OAKLEY_AES_CBC: Ok (ret=0)
2004-Apr 16 23:04:30 (none) pluto[8729]: ike_alg_register_enc(): Activating OAKLEY_BLOWFISH_CBC: Ok (ret=0)
2004-Apr 16 23:04:30 (none) pluto[8729]: ike_alg_register_enc(): Activating OAKLEY_CAST_CBC: Ok (ret=0)
2004-Apr 16 23:04:30 (none) pluto[8729]: ike_alg_register_enc(): Activating OAKLEY_SERPENT_CBC: Ok (ret=0)
2004-Apr 16 23:04:30 (none) pluto[8729]: ike_alg_register_hash(): Activating OAKLEY_SHA2_256: Ok (ret=0)
2004-Apr 16 23:04:30 (none) pluto[8729]: ike_alg_register_hash(): Activating OAKLEY_SHA2_512: Ok (ret=0)
2004-Apr 16 23:04:30 (none) pluto[8729]: ike_alg_register_enc(): Activating OAKLEY_TWOFISH_CBC: Ok (ret=0)
2004-Apr 16 23:04:30 (none) pluto[8729]: ike_alg_register_enc(): Activating OAKLEY_SSH_PRIVATE_65289: Ok (ret=0)
2004-Apr 16 23:04:30 (none) pluto[8729]: Changing to directory '/etc/ipsec.d/cacerts'
2004-Apr 16 23:04:30 (none) pluto[8729]:   Warning: empty directory
2004-Apr 16 23:04:30 (none) pluto[8729]: Changing to directory '/etc/ipsec.d/crls'
2004-Apr 16 23:04:30 (none) pluto[8729]:   Warning: empty directory
2004-Apr 16 23:04:30 (none) pluto[8729]: OpenPGP certificate file '/etc/pgpcert.pgp' not found
2004-Apr 16 23:04:30 (none) pluto[8729]: listening for IKE messages
2004-Apr 16 23:04:30 (none) pluto[8729]: adding interface ipsec0/eth1 212.185.***.***
2004-Apr 16 23:04:30 (none) pluto[8729]: loading secrets from "/etc/ipsec.secrets"
2004-Apr 16 23:04:30 (none) pluto[8729]: | from whack: got --esp=3des-md5
2004-Apr 16 23:04:30 (none) pluto[8729]: | from whack: got --ike=3des-md5-modp1536
2004-Apr 16 23:04:30 (none) pluto[8729]: added connection description "ref__g2g_1"
2004-Apr 16 23:04:31 (none) pluto[8729]: "ref__g2g_1"[1] 62.47.243.152 #1: responding to Main Mode from unknown peer 62.47.243.152
2004-Apr 16 23:04:31 (none) pluto[8729]: "ref__g2g_1"[1] 62.47.243.152 #1: Main mode peer ID is ID_FQDN: '@gate.refs-home.net'
2004-Apr 16 23:04:31 (none) pluto[8729]: "ref__g2g_1"[1] 62.47.243.152 #1: sent MR3, ISAKMP SA established
2004-Apr 16 23:04:32 (none) pluto[8729]: "ref__g2g_1"[1] 62.47.243.152 #2: responding to Quick Mode
2004-Apr 16 23:04:32 (none) pluto[8729]: "ref__g2g_1"[1] 62.47.243.152 #2: IPsec SA established
2004-Apr 16 23:04:50 (none) pluto[8729]: shutting down
2004-Apr 16 23:04:50 (none) pluto[8729]: forgetting secrets
2004-Apr 16 23:04:50 (none) pluto[8729]: "ref__g2g_1"[1] 62.47.243.152: deleting connection "ref__g2g_1" instance with peer 62.47.243.152
2004-Apr 16 23:04:50 (none) pluto[8729]: "ref__g2g_1" #2: deleting state (STATE_QUICK_R2)

I would apreciate any tips you could provide.

Greetings
Remo


This thread was automatically locked due to age.
Parents
  • 0
    Hmmm... If there is still information missing I could provide, please tell me. Its a curiosity to me, why this stuff is not working and I need a Solution! Does it work properly with Astaro V5? Should I try PPTP?

    Greetings
    Remo
  • 0 in reply to ref
    [ QUOTE ]
    Should I try PPTP?

    [/ QUOTE ]PPTP is not quite as secure as IPsec, but it is very much easier to implement. PPTP tunnels can also work through any number of layered network address translators on the client end of the connection, something which IPsec won't do. To get IPsec to work, both ends of the connection should be on real world IP addresses.
Reply
  • 0 in reply to ref
    [ QUOTE ]
    Should I try PPTP?

    [/ QUOTE ]PPTP is not quite as secure as IPsec, but it is very much easier to implement. PPTP tunnels can also work through any number of layered network address translators on the client end of the connection, something which IPsec won't do. To get IPsec to work, both ends of the connection should be on real world IP addresses.
Children
  • 0 in reply to VelvetFog
    Both ends are real Internet connections with valid IP-Addresses and no other Packet Filter in between. I updated to ASL V5 yesterday and everything seemed to work. Until my DSL connection got cut. Now I have a new problem that actualy doesnt belong into this Forum anymore.

    Greetings
    Remo
  • 0 in reply to ref
    Hi there, 

    for whatever reason, one of your firewalls received a delete SA packet, which tells the gateway to shutdown the connection, which it successfully did.

    Can you outline the configuration on both sides a liitle bit more.

    Regards
    Gert
Cookie Information Banner