# FreeSWAN VPN Server

## Bender007

Hi ho 

ich wollte mir einen VPN Server aufsetzten und benutze freeswan. Im Kernel sollten eigentlich alle module eingebunden sein allerdings steig ich durch die konfiguration nicht durch und hab bis jetzt noch kein anständiges howto gefunden...

Wie geht man bei so einer VPN installation vor?

Der start von ipsec funzt einwandrei:

./ipsec start

ipsec_setup: Starting FreeS/WAN IPsec 1.99...

ipsec_setup: Using /lib/modules/2.4.20-gentoo-r5/kernel/net/ipsec/ipsec.o

ipsec verify meldet mir allerdings folgenenden fehler:

....

Checking your system to see if IPsec got installed and started correctly

Version check and ipsec on-path                             Checking your system to see if IPsec got installed and star$

Version check and ipsec on-path                             [OK]

Checking for KLIPS support in kernel                        [FAILED]

Checking for RSA private key (/etc/ipsec/ipsec.secrets)     [OK]

Checking that pluto is running                              [FAILED]

DNS checks.

Looking for forward key for matrix                          [FAILED]

Looking for KEY in reverse map: 146.239.84.217.in-addr.arpa [FAILED]

Does the machine have at least one non-private address      [OK]

Usage: ipsec setup {--start|--stop|--restart|--status}

Usage: ipsec setup {--start|--stop|--restart|--status}

Usage: ipsec setup {--start|--stop|--restart|--status}

Usage: ipsec setup {--start|--stop|--restart|--status}

Usage: ipsec setup {--start|--stop|--restart|--status}

/usr/lib/ipsec/verify: line 96: host: command not found

/usr/lib/ipsec/verify: line 128: host: command not found

...

und das geht ein paar seiten so weiter...

und was ist pluto und muss ich pluto extra emergen??

----------

## Medial

Hi,

versuchs mal mit

```
 ipsec setup --start
```

ansonsten hilft Dir ja vielleicht dieses [url=http://www.ittc.ku.edu/~kpm/EECS801-Fall2001/test-setup.html#Starting%20IPSEC%20(KLIPS%20and%20PLUTO)]"Howto"[/url]ein bisschen weiter

----------

## Bender007

pluto und klips funzen jetzt aber problem hab ich immernoch mit dem key... kann ir vielleicht einer von euch mal seine ipsec.conf posten damit ich die meinem system anpassen kann ..

ipsec verify

Checking your system to see if IPsec got installed and started correctly

Version check and ipsec on-path                             [OK]

Checking for KLIPS support in kernel                        [OK]

Checking for RSA private key (/etc/ipsec/ipsec.secrets)     [OK]

Checking that pluto is running                              [OK]

DNS checks.

Looking for forward key for matrix                          /usr/lib/ipsec/verify: line 96: host: command not found

[FAILED]

Looking for KEY in reverse map: 127.215.226.217.in-addr.arpa/usr/lib/ipsec/verify: line 128: host: command not found

[FAILED]

Does the machine have at least one non-private address      [OK]

Und wo trage ich den Benutzer ein der sich einwählen darf??

----------

## Bender007

ich bin am verzweifeln ich bekomme diese DNS meldung nicht weg !!!

Hat das was mit dem Key zu tun?? 

So wie ich das jetzt verstanden habe muss ich in die ipsec.conf auch noch einen key eintragen ... aber welchen und wo??

Hier nochmal die Fehlermeldung:

ipsec verify 

Checking your system to see if IPsec got installed and started correctly 

Version check and ipsec on-path [OK] 

Checking for KLIPS support in kernel [OK] 

Checking for RSA private key (/etc/ipsec/ipsec.secrets) [OK] 

Checking that pluto is running [OK] 

DNS checks. 

Looking for forward key for matrix /usr/lib/ipsec/verify: line 96: host: command not found 

[FAILED] 

Looking for KEY in reverse map: 127.215.226.217.in-addr.arpa/usr/lib/ipsec/verify: line 128: host: command not found 

[FAILED] 

Does the machine have at least one non-private address [OK]

----------

## Beforegod

Sieht fast so aus als würde Dir die Bind-Tools fehlen.

Installiere diese mal nach

emerge bind-tools (oder bind-utils)..

/bin mir nicht 100% sicher)

----------

## Bender007

cool hat geklappt danke beforegod nur eine Fehlermeldung gibt er noch aus:

matrix root # ipsec verify

Checking your system to see if IPsec got installed and started correctly

Version check and ipsec on-path                             [OK]

Checking for KLIPS support in kernel                        [OK]

Checking for RSA private key (/etc/ipsec/ipsec.secrets)     [OK]

Checking that pluto is running                              [OK]

DNS checks.

Looking for forward key for matrix                          [OK]

Looking for KEY in reverse map: 127.215.226.217.in-addr.arpa[FAILED]

Does the machine have at least one non-private address      [OK]

Das kann daran liegen das ich doch noch einen key in die ipsec.conf eintragen muss oder ?? ich steig durch diesen key krams langsam net mehr durch wenn jemand die ipsec.conf zur hand hat wäre das supercool.. Oder kann mir einer sagen was ich da für einen key eintragen muss ?

Was mir aufgefallen ist das die adresse oben wo er den fehler meldet das ist meine ip adresse aber falsch rum...

217.226.215.127 das ist meine aktuelle ip...Last edited by Bender007 on Wed Aug 27, 2003 3:05 pm; edited 1 time in total

----------

## Medial

Ohne mich zu weit aus dem Fenster hinauslehen zu wollen da ich eigenlich net so viel Ahnung von Frees/WAN hab, sind meines wissenstands nach diese beiden Punkte für dich eigenlich egal, da sie eigenlich (wie gesagt nach meinem wissensstand) nur für "opportunistic encryption"  gebraucht werden. Falls du das tatsächlich brauchen solltest kannst du dich ja mal hier reinlesen. Ansonsten würd ich an deiner stelle mir  nochmal die  ipsec.conf anschauen und schauen ob man OE nicht deaktivieren kann .

----------

## Bender007

mhh ich hab mal nachgeschaut aber die Option das man das deaktivieren kann hab ich nicht gefunden... wenn ich den ipsec server starte kann ich nicht connecten (mit den in win 2000 eingebundenen client)!

und wie sieht es mit den benutzern aus die sich verbinden dürfen wo trägt man die ein??? 

Fehlermeldung bleibt:

Looking for KEY in reverse map: 127.215.226.217.in-addr.arpa[FAILED]

Hier meine ipsec.conf_

# /etc/ipsec.conf - FreeS/WAN IPsec configuration file

# More elaborate and more varied sample configurations can be found

# in FreeS/WAN's doc/examples file, and in the HTML documentation.

# basic configuration

config setup

        interfaces="ipsec0=ppp0"

        klipsdebug=none

        plutodebug=none

        plutoload=%search

        plutostart=%search

        uniqueids=yes

# defaults for subsequent connection descriptions

# (these defaults will soon go away)

conn %default

        authby=rsasig

        disablearrivalcheck=no

        keyingtries=0

        left=%any

        leftnexthop=%direct

        leftrsasigkey=%dnsondemand

        right=%any

        rightnexthop=%direct

        rightrsasigkey=%dnsondemand

# connection description for opportunistic encryption

# (requires KEY record in your DNS reverse map; see doc/opportunism.howto)

#conn me-to-anyone

#       left=%any

#       right=%any

#       keylife=1h

#       rekey=no

#       # for initiator only OE, uncomment and uncomment this

#       # after putting your key in your forward map

#       #leftid=@myhostname.example.com

#       # uncomment this next line to enable it

#       #auto=route

#

# sample VPN connection

conn matrix

        left=%any

        leftnexthop=%defaultroute

        leftsubnet=192.168.0.0/24

        leftrsasigkey=%dnsondemand

        right=%any

        rightnexthop=%defaultroute

        rightsubnet=192.168.0.0/24

        rightrsasigkey=%dnsondemand

        # To authorize this connection, but not actually start it, at startup,

        # uncomment this.

        #auto=add

Diese meldung hab ich noch gefunden wenn ich ipsec starte:

Starting FreeS/WAN IPsec 1.99...

Aug 28 17:15:42 matrix ipsec_setup: Using /lib/modules/2.4.20-gentoo-r5/kernel/net/ipsec/ipsec.o

Aug 28 17:15:42 matrix ipsec_setup: KLIPS debug `none'

Aug 28 17:15:43 matrix ipsec_setup: KLIPS ipsec0 on ppp0 217.84.230.153/255.255.255.255 pointopoint 217.5.98.59

wo kann ich das ändern denn die subnetzmaske ist falsch und das pointtopoint keine ahnung was das ist aber es stimmt auch nicht...Last edited by Bender007 on Thu Aug 28, 2003 3:11 pm; edited 1 time in total

----------

## Bender007

oder soll ich die eine meldung ignorieren??

Looking for KEY in reverse map: 127.215.226.217.in-addr.arpa[FAILED]

----------

## pZYchO

Dein Problem hat erstmal nichts mit Keys zu tun. Der Versucht lediglich deine IP Adresse in einen Namen aufzulösen (deswegen steht deine Adresse auch falschrum da...). Mit anderen Worten, dein ISP setzt auf deine IP kein PTR (Pointer) Record im DNS.

Inwieweit das auswirkungen auf IPsec hat kann ich dir leider auch nicht sagen, da ich auch noch am Anfang stehe... =)

MfG pZYchO

----------

