Je me d=E9bats pour =E9tablir une connection ipsec avec racoon (vers
isakmp/openBSD) ; j'utilise des certificats x509, mais j'ai une erreur
=E0 la phase 1 (j'ai fait sauter le d=E9tail des clefs et paquets) :
Jan 11 14:24:55 ks34006 racoon: DEBUG: 188 bytes message received from
81.56.27.175[500] to 213.251.169.20[500]
Jan 11 14:24:55 ks34006 racoon: DEBUG: begin decryption.
Jan 11 14:24:55 ks34006 racoon: DEBUG: encryption(aes)
Jan 11 14:24:55 ks34006 racoon: DEBUG: IV was saved for next
processing:
Jan 11 14:24:55 ks34006 racoon: DEBUG: 3a7abe39 dd504793
Jan 11 14:24:55 ks34006 racoon: DEBUG: encryption(aes)
Jan 11 14:24:55 ks34006 racoon: DEBUG: decrypted payload by IV:
Jan 11 14:24:55 ks34006 racoon: DEBUG: 971b2ff1 9e97f4d4
Jan 11 14:24:55 ks34006 racoon: DEBUG: decrypted payload, but not
trimed.
Jan 11 14:24:55 ks34006 racoon: DEBUG: begin.
Jan 11 14:24:55 ks34006 racoon: DEBUG: seen nptype=3D5(id)
Jan 11 14:24:55 ks34006 racoon: DEBUG: seen nptype=3D9(sig)
Jan 11 14:24:55 ks34006 racoon: DEBUG: succeed.
Jan 11 14:24:55 ks34006 racoon: DEBUG: SIGN passed:
Jan 11 14:24:55 ks34006 racoon: ERROR: no peer's CERT payload found.
En face, j'ai :
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: exchange_validate: checking
for required ID
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: exchange_validate: checking
for required AUTH
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: ike_phase_1_recv_ID:
IPV4_ADDR:
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: d5fba914
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: x509_generate_kn: generating
KeyNote policy for certificat e 0x7da35580
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: x509_generate_kn: added
credential
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: x509_generate_kn: added
credential: Authorizer: "DN:/C=3DFR/
ST=3DIDF/L=3DKremlin-Bicetre/O=3Dgeekwu.org/CN=3Dgeekwu.org/emailAddress=3D=
root@geekwu.org"
Licensees: "DN:/C=3DF R/ST=3DIDF/L=3DRoubaix/O=3Dgeekwu.org/OU=3Dkaita
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: ike_phase_1_recv_AUTH:
computed HASH_I:
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: 25ffa136 8d3633c0 48c8d5b9
0b4d8105 34feabed
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]:
exchange_handle_leftover_payloads: unexpected payload CERT _REQ
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: exchange_run: exchange
0x86deae00 finished step 4, advanci ng...
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: ike_phase_1_send_ID: FQDN:
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: 6765656b 77752e6f 7267
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: keynote_cert_obtain: failed
to open "/etc/isakmpd/keynote/ /geekwu.org/credentials"
Jan 11 14:24:10 10.42.42.1 isakmpd[19136]: exchange_validate: checking
for required ID
Jan 11 14:24:10 10.42.42.1 isakmpd[19136]: exchange_validate: checking
for required AUTH
Jan 11 14:24:10 10.42.42.1 isakmpd[19136]: exchange_run: exchange
0x86deae00 finished step 5, advanci ng...
Jan 11 14:24:10 10.42.42.1 isakmpd[19136]: exchange_finalize:
0x86deae00 ISAKMP Default-main-mode pol icy responder phase 1 doi 1
exchange 2 step 6
Jan 11 14:24:10 10.42.42.1 isakmpd[19136]: exchange_finalize: icookie
37f80af40c70f97e rcookie e2274a f59200ba4b
Jan 11 14:24:10 10.42.42.1 isakmpd[19136]: exchange_finalize: msgid
00000000
Jan 11 14:24:10 10.42.42.1 isakmpd[19136]: checking whether new SA
replaces existing SA with IDs geek wu.org d5fba914: 213.251.169.20
Jan 11 14:24:10 10.42.42.1 isakmpd[19136]: exchange_finalize: phase 1
done: initiator id d5fba914: 21 3.251.169.20, responder id geekwu.org,
src: 81.56.27.175 dst: 213.251.169.20
Pouvez-vous me dire ce qu'il r=E9clame sans trouver ? Quel est donc ce
CERT payload ?
Je me débats pour établir une connection ipsec avec racoon
Déjà, quelle version ?
(vers isakmp/openBSD) ; j'utilise des certificats x509, mais j'ai une erreur à la phase 1 (j'ai fait sauter le détail des clefs et paquets) :
Sans tout lire en détail :
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: keynote_cert_obtain: failed to open "/etc/isakmpd/keynote/ /geekwu.org/credentials" ^^^
Est-ce bien normal ?
Pouvez-vous me dire ce qu'il réclame sans trouver ? Quel est donc ce CERT payload ?
Heu, le certificat ? Je suppose que racoon est configuré en authentification par certificats (rsasig ou hybride) ?
Fred (Réponse sur fcob seul, je ne lis pas fcolc.) -- Et comme les illusions croulent Je pouvais pleurer tout mon saoul Attendons seulement le soir Personne ne peut nous voir Apprends à dormir Glisse lentement Sans réfléchir Mais n'me demande pas comment (Noir Désir, Apprends à dormir)
Bonjour,
Je me débats pour établir une connection ipsec avec racoon
Déjà, quelle version ?
(vers isakmp/openBSD) ; j'utilise des certificats x509, mais j'ai une
erreur à la phase 1 (j'ai fait sauter le détail des clefs et paquets) :
Sans tout lire en détail :
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: keynote_cert_obtain: failed
to open "/etc/isakmpd/keynote/ /geekwu.org/credentials"
^^^
Est-ce bien normal ?
Pouvez-vous me dire ce qu'il réclame sans trouver ? Quel est donc ce
CERT payload ?
Heu, le certificat ? Je suppose que racoon est configuré en
authentification par certificats (rsasig ou hybride) ?
Fred
(Réponse sur fcob seul, je ne lis pas fcolc.)
--
Et comme les illusions croulent Je pouvais pleurer tout mon saoul
Attendons seulement le soir Personne ne peut nous voir
Apprends à dormir Glisse lentement Sans réfléchir
Mais n'me demande pas comment (Noir Désir, Apprends à dormir)
Je me débats pour établir une connection ipsec avec racoon
Déjà, quelle version ?
(vers isakmp/openBSD) ; j'utilise des certificats x509, mais j'ai une erreur à la phase 1 (j'ai fait sauter le détail des clefs et paquets) :
Sans tout lire en détail :
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: keynote_cert_obtain: failed to open "/etc/isakmpd/keynote/ /geekwu.org/credentials" ^^^
Est-ce bien normal ?
Pouvez-vous me dire ce qu'il réclame sans trouver ? Quel est donc ce CERT payload ?
Heu, le certificat ? Je suppose que racoon est configuré en authentification par certificats (rsasig ou hybride) ?
Fred (Réponse sur fcob seul, je ne lis pas fcolc.) -- Et comme les illusions croulent Je pouvais pleurer tout mon saoul Attendons seulement le soir Personne ne peut nous voir Apprends à dormir Glisse lentement Sans réfléchir Mais n'me demande pas comment (Noir Désir, Apprends à dormir)
Bastien Durel
Bonjour,
Je me débats pour établir une connection ipsec avec racoon
Déjà, quelle version ?
0.6.6-3
(vers isakmp/openBSD) ; j'utilise des certificats x509, mais j'ai une erreur à la phase 1 (j'ai fait sauter le détail des clefs et paquets) :
Sans tout lire en détail :
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: keynote_cert_obtain: failed to open "/etc/isakmpd/keynote/ /geekwu.org/credentials" ^^^
Est-ce bien normal ?
Je dois dire que je n'en sais rien (dans la log, il n'y a pas d'espace,
par contre, je ne sais d'où est sorti celui de mon post), ma connaissance d'isakmpd -- et ipsec de manière générale -- se résumant à cette expérience seule. Je ne sais pas ce qu'est ce répertoire keynote
Pouvez-vous me dire ce qu'il réclame sans trouver ? Quel est donc ce CERT payload ?
Heu, le certificat ? Je suppose que racoon est configuré en authentification par certificats (rsasig ou hybride) ?
En effet. rsasig en l'occurrence.
-- Bastien.
Bonjour,
Je me débats pour établir une connection ipsec avec racoon
Déjà, quelle version ?
0.6.6-3
(vers isakmp/openBSD) ; j'utilise des certificats x509, mais j'ai une
erreur à la phase 1 (j'ai fait sauter le détail des clefs et paquets) :
Sans tout lire en détail :
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: keynote_cert_obtain: failed
to open "/etc/isakmpd/keynote/ /geekwu.org/credentials"
^^^
Est-ce bien normal ?
Je dois dire que je n'en sais rien (dans la log, il n'y a pas d'espace,
par contre, je ne sais d'où est sorti celui de mon post), ma
connaissance d'isakmpd -- et ipsec de manière générale -- se résumant à
cette expérience seule.
Je ne sais pas ce qu'est ce répertoire keynote
Pouvez-vous me dire ce qu'il réclame sans trouver ? Quel est donc ce
CERT payload ?
Heu, le certificat ? Je suppose que racoon est configuré en
authentification par certificats (rsasig ou hybride) ?
Je me débats pour établir une connection ipsec avec racoon
Déjà, quelle version ?
0.6.6-3
(vers isakmp/openBSD) ; j'utilise des certificats x509, mais j'ai une erreur à la phase 1 (j'ai fait sauter le détail des clefs et paquets) :
Sans tout lire en détail :
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: keynote_cert_obtain: failed to open "/etc/isakmpd/keynote/ /geekwu.org/credentials" ^^^
Est-ce bien normal ?
Je dois dire que je n'en sais rien (dans la log, il n'y a pas d'espace,
par contre, je ne sais d'où est sorti celui de mon post), ma connaissance d'isakmpd -- et ipsec de manière générale -- se résumant à cette expérience seule. Je ne sais pas ce qu'est ce répertoire keynote
Pouvez-vous me dire ce qu'il réclame sans trouver ? Quel est donc ce CERT payload ?
Heu, le certificat ? Je suppose que racoon est configuré en authentification par certificats (rsasig ou hybride) ?
En effet. rsasig en l'occurrence.
-- Bastien.
F. Senault
Sans tout lire en détail :
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: keynote_cert_obtain: failed to open "/etc/isakmpd/keynote/ /geekwu.org/credentials" ^^^
Est-ce bien normal ?
Je dois dire que je n'en sais rien (dans la log, il n'y a pas d'espace,
par contre, je ne sais d'où est sorti celui de mon post),
Ok.
ma connaissance d'isakmpd -- et ipsec de manière générale -- se résumant à cette expérience seule. Je ne sais pas ce qu'est ce répertoire keynote
Là, je ne saurais pas t'aider. Mais le problème vient sans doute de ce côté là : l'initiateur chercherait son certificat mais ne le trouverait pas.
Pouvez-vous me dire ce qu'il réclame sans trouver ? Quel est donc ce CERT payload ?
Heu, le certificat ? Je suppose que racoon est configuré en authentification par certificats (rsasig ou hybride) ?
En effet. rsasig en l'occurrence.
Donc il faut bien une paire de certificats et leurs clés. Signés par une autorité reconnue de chacun (si je me souviens bien).
Nota : une config racoon/racoon serait peut-être plus simple ?
Fred -- Like that means something And oh so sick I am And maybe I don't have a choice And maybe that is all I have And maybe this is a cry for help (Nine inch Nails, I Do not Want This)
Sans tout lire en détail :
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: keynote_cert_obtain: failed
to open "/etc/isakmpd/keynote/ /geekwu.org/credentials"
^^^
Est-ce bien normal ?
Je dois dire que je n'en sais rien (dans la log, il n'y a pas d'espace,
par contre, je ne sais d'où est sorti celui de mon post),
Ok.
ma connaissance d'isakmpd -- et ipsec de manière générale -- se résumant
à cette expérience seule.
Je ne sais pas ce qu'est ce répertoire keynote
Là, je ne saurais pas t'aider. Mais le problème vient sans doute de ce
côté là : l'initiateur chercherait son certificat mais ne le trouverait
pas.
Pouvez-vous me dire ce qu'il réclame sans trouver ? Quel est donc ce
CERT payload ?
Heu, le certificat ? Je suppose que racoon est configuré en
authentification par certificats (rsasig ou hybride) ?
En effet. rsasig en l'occurrence.
Donc il faut bien une paire de certificats et leurs clés. Signés par
une autorité reconnue de chacun (si je me souviens bien).
Nota : une config racoon/racoon serait peut-être plus simple ?
Fred
--
Like that means something And oh so sick I am
And maybe I don't have a choice And maybe that is all I have
And maybe this is a cry for help
(Nine inch Nails, I Do not Want This)
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: keynote_cert_obtain: failed to open "/etc/isakmpd/keynote/ /geekwu.org/credentials" ^^^
Est-ce bien normal ?
Je dois dire que je n'en sais rien (dans la log, il n'y a pas d'espace,
par contre, je ne sais d'où est sorti celui de mon post),
Ok.
ma connaissance d'isakmpd -- et ipsec de manière générale -- se résumant à cette expérience seule. Je ne sais pas ce qu'est ce répertoire keynote
Là, je ne saurais pas t'aider. Mais le problème vient sans doute de ce côté là : l'initiateur chercherait son certificat mais ne le trouverait pas.
Pouvez-vous me dire ce qu'il réclame sans trouver ? Quel est donc ce CERT payload ?
Heu, le certificat ? Je suppose que racoon est configuré en authentification par certificats (rsasig ou hybride) ?
En effet. rsasig en l'occurrence.
Donc il faut bien une paire de certificats et leurs clés. Signés par une autorité reconnue de chacun (si je me souviens bien).
Nota : une config racoon/racoon serait peut-être plus simple ?
Fred -- Like that means something And oh so sick I am And maybe I don't have a choice And maybe that is all I have And maybe this is a cry for help (Nine inch Nails, I Do not Want This)
Bastien Durel
Sans tout lire en détail :
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: keynote_cert_obtain: failed to open "/etc/isakmpd/keynote/ /geekwu.org/credentials" ^^^
Est-ce bien normal ?
Je dois dire que je n'en sais rien (dans la log, il n'y a pas d'espace,
par contre, je ne sais d'où est sorti celui de mon post),
Ok.
ma connaissance d'isakmpd -- et ipsec de manière générale -- se résumant à cette expérience seule. Je ne sais pas ce qu'est ce répertoire keynote
Là, je ne saurais pas t'aider. Mais le problème vient sans doute de ce côté là : l'initiateur chercherait son certificat mais ne le trouverait pas.
Pouvez-vous me dire ce qu'il réclame sans trouver ? Quel est donc ce CERT payload ? Heu, le certificat ? Je suppose que racoon est configuré en
authentification par certificats (rsasig ou hybride) ?
En effet. rsasig en l'occurrence.
Donc il faut bien une paire de certificats et leurs clés. Signés par une autorité reconnue de chacun (si je me souviens bien).
J'ai bien une paire de certificats signés par la même CA, désignée dans
le certificat de la CA est dans ca/ ma clef dans certs/ ...
Nota : une config racoon/racoon serait peut-être plus simple ? Ça aurait été une idée, mais je n'ai pas racoon sur mon openBSD. Et pas
les outils pour le mettre non plus (c'est un flashboot). Quitte à simplifier, autant mettre isakmpd des deux cotés, en fait.
-- Bastien.
Benjamin Pineau
Le Fri, 12 Jan 2007 14:54:20 +0100, Bastien Durel écrivait:
J'ai bien une paire de certificats signés par la même CA, désignée dans isakmpd.policy : Authorizer: "POLICY" Licensees: "DN:/C=FR/ST=IDF/L=Kremlin-Bicetre/O=geekwu.org/CN=geekwu.org/emailAddress=" [...]
le certificat de la CA est dans ca/ ma clef dans certs/ ...
Peut-etre qu'indiquer vos isakmpd.conf, racoon.conf et isakmpd.policy complets aiderait. Vous pouvez avoir surchargà le path des certificats par defaut via isakmpd.conf, ou utiliser purement keynote ... Tcpdump aide bien aussi, par ex : tcpdump -nvs 1500 -i INTERFACE 'proto esp or proto ah or (proto udp and port 500 or 4500)'
Avez-vous d'abord tente une config plus simple (par exemple avec une clef partagee) pour verifier d'eventuels problemes d'interoperabilite ?
Le Fri, 12 Jan 2007 14:54:20 +0100,
Bastien Durel <bastien@geekwu.org> écrivait:
J'ai bien une paire de certificats signés par la même CA, désignée dans
isakmpd.policy :
Authorizer: "POLICY"
Licensees:
"DN:/C=FR/ST=IDF/L=Kremlin-Bicetre/O=geekwu.org/CN=geekwu.org/emailAddress=root@geekwu.org"
[...]
le certificat de la CA est dans ca/ ma clef dans certs/ ...
Peut-etre qu'indiquer vos isakmpd.conf, racoon.conf et isakmpd.policy
complets aiderait. Vous pouvez avoir surchargà le path des certificats
par defaut via isakmpd.conf, ou utiliser purement keynote ...
Tcpdump aide bien aussi, par ex :
tcpdump -nvs 1500 -i INTERFACE
'proto esp or proto ah or (proto udp and port 500 or 4500)'
Avez-vous d'abord tente une config plus simple (par exemple avec une clef
partagee) pour verifier d'eventuels problemes d'interoperabilite ?
Le Fri, 12 Jan 2007 14:54:20 +0100, Bastien Durel écrivait:
J'ai bien une paire de certificats signés par la même CA, désignée dans isakmpd.policy : Authorizer: "POLICY" Licensees: "DN:/C=FR/ST=IDF/L=Kremlin-Bicetre/O=geekwu.org/CN=geekwu.org/emailAddress=" [...]
le certificat de la CA est dans ca/ ma clef dans certs/ ...
Peut-etre qu'indiquer vos isakmpd.conf, racoon.conf et isakmpd.policy complets aiderait. Vous pouvez avoir surchargà le path des certificats par defaut via isakmpd.conf, ou utiliser purement keynote ... Tcpdump aide bien aussi, par ex : tcpdump -nvs 1500 -i INTERFACE 'proto esp or proto ah or (proto udp and port 500 or 4500)'
Avez-vous d'abord tente une config plus simple (par exemple avec une clef partagee) pour verifier d'eventuels problemes d'interoperabilite ?
Bastien Durel
Le Fri, 12 Jan 2007 14:54:20 +0100, Bastien Durel écrivait:
J'ai bien une paire de certificats signés par la même CA, désignée dans isakmpd.policy : Authorizer: "POLICY" Licensees: "DN:/C=FR/ST=IDF/L=Kremlin-Bicetre/O=geekwu.org/CN=geekwu.org/emailAddress=" [...]
le certificat de la CA est dans ca/ ma clef dans certs/ ...
Peut-etre qu'indiquer vos isakmpd.conf, racoon.conf et isakmpd.policy complets aiderait. Vous pouvez avoir surchargà le path des certificats par defaut via isakmpd.conf, ou utiliser purement keynote ... Tcpdump aide bien aussi, par ex : tcpdump -nvs 1500 -i INTERFACE 'proto esp or proto ah or (proto udp and port 500 or 4500)'
Avez-vous d'abord tente une config plus simple (par exemple avec une clef partagee) pour verifier d'eventuels problemes d'interoperabilite ?
Bonjour,
Je n'ai pas essayé de configuration plus simple, effectivement, car je n'ai pas pensé que cela pouvait poser problème. Et aussi que je ne veux pas utiliser de clef partagée.
pour ce qui est de la configuration :
:~$ sudo cat /etc/racoon/racoon-tool.conf # # Configuration file for racoon-tool # # See racoon-tool.conf(5) for details #
# How to control the syslog level global: log: debug2 # log: notify
# You may have to adapt Transforms and Suites to your clients abilities. [Default-main-mode] DOI= IPSEC EXCHANGE_TYPE= ID_PROT Transforms= AES-SHA-RSA_SIG,BLF-SHA-RSA_SIG,3DES-SHA-RSA_SIG
[Default-quick-mode] DOI= IPSEC EXCHANGE_TYPE= QUICK_MODE Suites= QM-ESP-AES-SHA-PFS-SUITE,QM-ESP-3DES-SHA-PFS-GRP2-SUITE # cat /etc/isakmpd/isakmpd.policy KeyNote-Version: 2 Comment: This policy accepts ESP SA's from hosts with certs signed by our CA Authorizer: "POLICY" Licensees: "DN:/C=FR/ST=IDF/L=Kremlin-Bicetre/O=geekwu.org/CN=geekwu.org/emailAddress=" Conditions: app_domain == "IPsec policy" && esp_present == "yes" && esp_enc_alg != "null" -> "true";
Le Fri, 12 Jan 2007 14:54:20 +0100,
Bastien Durel <bastien@geekwu.org> écrivait:
J'ai bien une paire de certificats signés par la même CA, désignée dans
isakmpd.policy :
Authorizer: "POLICY"
Licensees:
"DN:/C=FR/ST=IDF/L=Kremlin-Bicetre/O=geekwu.org/CN=geekwu.org/emailAddress=root@geekwu.org"
[...]
le certificat de la CA est dans ca/ ma clef dans certs/ ...
Peut-etre qu'indiquer vos isakmpd.conf, racoon.conf et isakmpd.policy
complets aiderait. Vous pouvez avoir surchargà le path des certificats
par defaut via isakmpd.conf, ou utiliser purement keynote ...
Tcpdump aide bien aussi, par ex :
tcpdump -nvs 1500 -i INTERFACE
'proto esp or proto ah or (proto udp and port 500 or 4500)'
Avez-vous d'abord tente une config plus simple (par exemple avec une clef
partagee) pour verifier d'eventuels problemes d'interoperabilite ?
Bonjour,
Je n'ai pas essayé de configuration plus simple, effectivement, car je
n'ai pas pensé que cela pouvait poser problème. Et aussi que je ne veux
pas utiliser de clef partagée.
pour ce qui est de la configuration :
bastien@kaitain:~$ sudo cat /etc/racoon/racoon-tool.conf
#
# Configuration file for racoon-tool
#
# See racoon-tool.conf(5) for details
#
# How to control the syslog level
global:
log: debug2
# log: notify
# You may have to adapt Transforms and Suites to your clients abilities.
[Default-main-mode]
DOI= IPSEC
EXCHANGE_TYPE= ID_PROT
Transforms= AES-SHA-RSA_SIG,BLF-SHA-RSA_SIG,3DES-SHA-RSA_SIG
[Default-quick-mode]
DOI= IPSEC
EXCHANGE_TYPE= QUICK_MODE
Suites= QM-ESP-AES-SHA-PFS-SUITE,QM-ESP-3DES-SHA-PFS-GRP2-SUITE
# cat /etc/isakmpd/isakmpd.policy
KeyNote-Version: 2
Comment: This policy accepts ESP SA's from hosts with certs signed by our CA
Authorizer: "POLICY"
Licensees:
"DN:/C=FR/ST=IDF/L=Kremlin-Bicetre/O=geekwu.org/CN=geekwu.org/emailAddress=root@geekwu.org"
Conditions: app_domain == "IPsec policy" &&
esp_present == "yes" &&
esp_enc_alg != "null" -> "true";
Le Fri, 12 Jan 2007 14:54:20 +0100, Bastien Durel écrivait:
J'ai bien une paire de certificats signés par la même CA, désignée dans isakmpd.policy : Authorizer: "POLICY" Licensees: "DN:/C=FR/ST=IDF/L=Kremlin-Bicetre/O=geekwu.org/CN=geekwu.org/emailAddress=" [...]
le certificat de la CA est dans ca/ ma clef dans certs/ ...
Peut-etre qu'indiquer vos isakmpd.conf, racoon.conf et isakmpd.policy complets aiderait. Vous pouvez avoir surchargà le path des certificats par defaut via isakmpd.conf, ou utiliser purement keynote ... Tcpdump aide bien aussi, par ex : tcpdump -nvs 1500 -i INTERFACE 'proto esp or proto ah or (proto udp and port 500 or 4500)'
Avez-vous d'abord tente une config plus simple (par exemple avec une clef partagee) pour verifier d'eventuels problemes d'interoperabilite ?
Bonjour,
Je n'ai pas essayé de configuration plus simple, effectivement, car je n'ai pas pensé que cela pouvait poser problème. Et aussi que je ne veux pas utiliser de clef partagée.
pour ce qui est de la configuration :
:~$ sudo cat /etc/racoon/racoon-tool.conf # # Configuration file for racoon-tool # # See racoon-tool.conf(5) for details #
# How to control the syslog level global: log: debug2 # log: notify
# You may have to adapt Transforms and Suites to your clients abilities. [Default-main-mode] DOI= IPSEC EXCHANGE_TYPE= ID_PROT Transforms= AES-SHA-RSA_SIG,BLF-SHA-RSA_SIG,3DES-SHA-RSA_SIG
[Default-quick-mode] DOI= IPSEC EXCHANGE_TYPE= QUICK_MODE Suites= QM-ESP-AES-SHA-PFS-SUITE,QM-ESP-3DES-SHA-PFS-GRP2-SUITE # cat /etc/isakmpd/isakmpd.policy KeyNote-Version: 2 Comment: This policy accepts ESP SA's from hosts with certs signed by our CA Authorizer: "POLICY" Licensees: "DN:/C=FR/ST=IDF/L=Kremlin-Bicetre/O=geekwu.org/CN=geekwu.org/emailAddress=" Conditions: app_domain == "IPsec policy" && esp_present == "yes" && esp_enc_alg != "null" -> "true";
Je n'ai pas essayé de configuration plus simple, effectivement, car je n'ai pas pensé que cela pouvait poser problème. Et aussi que je ne veux pas utiliser de clef partagée.
pour ce qui est de la configuration :
:~$ sudo cat /etc/racoon/racoon-tool.conf # # Configuration file for racoon-tool # # See racoon-tool.conf(5) for details
Ca, c'est l'outil de configuration de racoon mis au point par debian, si je ne me trompe. Attention que racoon en question n'utilise pas directement ce fichier, et que cet outil n'a, pour autant que je sache, pas été mis à jour depuis la reprise du projet ipsec-tools (donc pour les versions au dessus de 3).
Il faudrait vérifier déjà que le racoon.conf qui a été généré est valide ; tu peux éventuellement aussi le poster ici.
Fred -- On l'a vu dans la poussière Avec les chats des cimetières Glissant entre les fissures Frôlant les tombes et leurs murs Dans la chaleur de l'été Les os des hommes pourrissaient Joey ce soir ne dérange Que les démons et les anges (Noir Désir, Joey)
Bonjour,
Je n'ai pas essayé de configuration plus simple, effectivement, car je
n'ai pas pensé que cela pouvait poser problème. Et aussi que je ne veux
pas utiliser de clef partagée.
pour ce qui est de la configuration :
bastien@kaitain:~$ sudo cat /etc/racoon/racoon-tool.conf
#
# Configuration file for racoon-tool
#
# See racoon-tool.conf(5) for details
Ca, c'est l'outil de configuration de racoon mis au point par debian, si
je ne me trompe. Attention que racoon en question n'utilise pas
directement ce fichier, et que cet outil n'a, pour autant que je sache,
pas été mis à jour depuis la reprise du projet ipsec-tools (donc pour
les versions au dessus de 3).
Il faudrait vérifier déjà que le racoon.conf qui a été généré est
valide ; tu peux éventuellement aussi le poster ici.
Fred
--
On l'a vu dans la poussière Avec les chats des cimetières
Glissant entre les fissures Frôlant les tombes et leurs murs
Dans la chaleur de l'été Les os des hommes pourrissaient
Joey ce soir ne dérange Que les démons et les anges (Noir Désir, Joey)
Je n'ai pas essayé de configuration plus simple, effectivement, car je n'ai pas pensé que cela pouvait poser problème. Et aussi que je ne veux pas utiliser de clef partagée.
pour ce qui est de la configuration :
:~$ sudo cat /etc/racoon/racoon-tool.conf # # Configuration file for racoon-tool # # See racoon-tool.conf(5) for details
Ca, c'est l'outil de configuration de racoon mis au point par debian, si je ne me trompe. Attention que racoon en question n'utilise pas directement ce fichier, et que cet outil n'a, pour autant que je sache, pas été mis à jour depuis la reprise du projet ipsec-tools (donc pour les versions au dessus de 3).
Il faudrait vérifier déjà que le racoon.conf qui a été généré est valide ; tu peux éventuellement aussi le poster ici.
Fred -- On l'a vu dans la poussière Avec les chats des cimetières Glissant entre les fissures Frôlant les tombes et leurs murs Dans la chaleur de l'été Les os des hommes pourrissaient Joey ce soir ne dérange Que les démons et les anges (Noir Désir, Joey)
Bastien DUREL
F. Senault wrote:
Bonjour,
Je n'ai pas essayé de configuration plus simple, effectivement, car je n'ai pas pensé que cela pouvait poser problème. Et aussi que je ne veux pas utiliser de clef partagée.
pour ce qui est de la configuration :
:~$ sudo cat /etc/racoon/racoon-tool.conf # # Configuration file for racoon-tool # # See racoon-tool.conf(5) for details
Ca, c'est l'outil de configuration de racoon mis au point par debian, si je ne me trompe. Attention que racoon en question n'utilise pas directement ce fichier, et que cet outil n'a, pour autant que je sache, pas été mis à jour depuis la reprise du projet ipsec-tools (donc pour les versions au dessus de 3).
Il faudrait vérifier déjà que le racoon.conf qui a été généré est valide ; tu peux éventuellement aussi le poster ici.
Fred Effectivement, j'aurais du poster le fichier généré ... le voici donc :
:~$ cat /var/lib/racoon/racoon.conf # # Racoon configuration for kaitain.geekwu.org
# Generated on Mon Jan 15 14:56:22 2007 by racoon-tool #
sainfo address 213.251.169.20[any] any address 81.56.27.175[any] any { pfs_group modp1024; encryption_algorithm aes,3des; authentication_algorithm hmac_sha1,hmac_md5; compression_algorithm deflate; }
-- Bastien
F. Senault wrote:
Bonjour,
Je n'ai pas essayé de configuration plus simple, effectivement, car je
n'ai pas pensé que cela pouvait poser problème. Et aussi que je ne veux
pas utiliser de clef partagée.
pour ce qui est de la configuration :
bastien@kaitain:~$ sudo cat /etc/racoon/racoon-tool.conf
#
# Configuration file for racoon-tool
#
# See racoon-tool.conf(5) for details
Ca, c'est l'outil de configuration de racoon mis au point par debian, si
je ne me trompe. Attention que racoon en question n'utilise pas
directement ce fichier, et que cet outil n'a, pour autant que je sache,
pas été mis à jour depuis la reprise du projet ipsec-tools (donc pour
les versions au dessus de 3).
Il faudrait vérifier déjà que le racoon.conf qui a été généré est
valide ; tu peux éventuellement aussi le poster ici.
Fred
Effectivement, j'aurais du poster le fichier généré ... le voici donc :
bastien@kaitain:~$ cat /var/lib/racoon/racoon.conf
#
# Racoon configuration for kaitain.geekwu.org
# Generated on Mon Jan 15 14:56:22 2007 by racoon-tool
#
Je n'ai pas essayé de configuration plus simple, effectivement, car je n'ai pas pensé que cela pouvait poser problème. Et aussi que je ne veux pas utiliser de clef partagée.
pour ce qui est de la configuration :
:~$ sudo cat /etc/racoon/racoon-tool.conf # # Configuration file for racoon-tool # # See racoon-tool.conf(5) for details
Ca, c'est l'outil de configuration de racoon mis au point par debian, si je ne me trompe. Attention que racoon en question n'utilise pas directement ce fichier, et que cet outil n'a, pour autant que je sache, pas été mis à jour depuis la reprise du projet ipsec-tools (donc pour les versions au dessus de 3).
Il faudrait vérifier déjà que le racoon.conf qui a été généré est valide ; tu peux éventuellement aussi le poster ici.
Fred Effectivement, j'aurais du poster le fichier généré ... le voici donc :
:~$ cat /var/lib/racoon/racoon.conf # # Racoon configuration for kaitain.geekwu.org
# Generated on Mon Jan 15 14:56:22 2007 by racoon-tool #
Fred -- The key to my survival Was never in much doubt The question was how I could keep sane Trying to find the way out Things were never easy for me Peace of mind was hard to find And I needed a place where I could hide Somewhere I could call mine (Genesis, No Son of Mine)
path certificate "/etc/racoon/certs";
Dernière question avant de conclure que racoon est bien configuré : y
a-t-il un lien symbolique avec le hash de la CA dans ce répertoire ?
Fred
--
The key to my survival Was never in much doubt The question was how
I could keep sane Trying to find the way out Things were never easy
for me Peace of mind was hard to find And I needed a place where I
could hide Somewhere I could call mine (Genesis, No Son of Mine)
Fred -- The key to my survival Was never in much doubt The question was how I could keep sane Trying to find the way out Things were never easy for me Peace of mind was hard to find And I needed a place where I could hide Somewhere I could call mine (Genesis, No Son of Mine)
Bastien DUREL
F. Senault wrote:
path certificate "/etc/racoon/certs";
Dernière question avant de conclure que racoon est bien configuré : y a-t-il un lien symbolique avec le hash de la CA dans ce répertoire ?
