Bonjour,
Je me débats pour établir une connection ipsec avec racoon
(vers isakmp/openBSD) ; j'utilise des certificats x509, mais j'ai une
erreur à la phase 1 (j'ai fait sauter le détail des clefs et paquets) :
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: keynote_cert_obtain: failed
to open "/etc/isakmpd/keynote/ /geekwu.org/credentials"
^^^
Pouvez-vous me dire ce qu'il réclame sans trouver ? Quel est donc ce
CERT payload ?
Bonjour,
Je me débats pour établir une connection ipsec avec racoon
(vers isakmp/openBSD) ; j'utilise des certificats x509, mais j'ai une
erreur à la phase 1 (j'ai fait sauter le détail des clefs et paquets) :
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: keynote_cert_obtain: failed
to open "/etc/isakmpd/keynote/ /geekwu.org/credentials"
^^^
Pouvez-vous me dire ce qu'il réclame sans trouver ? Quel est donc ce
CERT payload ?
Bonjour,
Je me débats pour établir une connection ipsec avec racoon
(vers isakmp/openBSD) ; j'utilise des certificats x509, mais j'ai une
erreur à la phase 1 (j'ai fait sauter le détail des clefs et paquets) :
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: keynote_cert_obtain: failed
to open "/etc/isakmpd/keynote/ /geekwu.org/credentials"
^^^
Pouvez-vous me dire ce qu'il réclame sans trouver ? Quel est donc ce
CERT payload ?
Bonjour,
Je me débats pour établir une connection ipsec avec racoon
Déjà, quelle version ?
0.6.6-3
(vers isakmp/openBSD) ; j'utilise des certificats x509, mais j'ai une
erreur à la phase 1 (j'ai fait sauter le détail des clefs et paquets) :
Sans tout lire en détail :Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: keynote_cert_obtain: failed
to open "/etc/isakmpd/keynote/ /geekwu.org/credentials"
^^^
Est-ce bien normal ?
Je dois dire que je n'en sais rien (dans la log, il n'y a pas d'espace,
Pouvez-vous me dire ce qu'il réclame sans trouver ? Quel est donc ce
CERT payload ?
Heu, le certificat ? Je suppose que racoon est configuré en
authentification par certificats (rsasig ou hybride) ?
En effet. rsasig en l'occurrence.
Bonjour,
Je me débats pour établir une connection ipsec avec racoon
Déjà, quelle version ?
0.6.6-3
(vers isakmp/openBSD) ; j'utilise des certificats x509, mais j'ai une
erreur à la phase 1 (j'ai fait sauter le détail des clefs et paquets) :
Sans tout lire en détail :
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: keynote_cert_obtain: failed
to open "/etc/isakmpd/keynote/ /geekwu.org/credentials"
^^^
Est-ce bien normal ?
Je dois dire que je n'en sais rien (dans la log, il n'y a pas d'espace,
Pouvez-vous me dire ce qu'il réclame sans trouver ? Quel est donc ce
CERT payload ?
Heu, le certificat ? Je suppose que racoon est configuré en
authentification par certificats (rsasig ou hybride) ?
En effet. rsasig en l'occurrence.
Bonjour,
Je me débats pour établir une connection ipsec avec racoon
Déjà, quelle version ?
0.6.6-3
(vers isakmp/openBSD) ; j'utilise des certificats x509, mais j'ai une
erreur à la phase 1 (j'ai fait sauter le détail des clefs et paquets) :
Sans tout lire en détail :Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: keynote_cert_obtain: failed
to open "/etc/isakmpd/keynote/ /geekwu.org/credentials"
^^^
Est-ce bien normal ?
Je dois dire que je n'en sais rien (dans la log, il n'y a pas d'espace,
Pouvez-vous me dire ce qu'il réclame sans trouver ? Quel est donc ce
CERT payload ?
Heu, le certificat ? Je suppose que racoon est configuré en
authentification par certificats (rsasig ou hybride) ?
En effet. rsasig en l'occurrence.
Sans tout lire en détail :Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: keynote_cert_obtain: failed
to open "/etc/isakmpd/keynote/ /geekwu.org/credentials"
^^^
Est-ce bien normal ?
Je dois dire que je n'en sais rien (dans la log, il n'y a pas d'espace,
par contre, je ne sais d'où est sorti celui de mon post),
ma connaissance d'isakmpd -- et ipsec de manière générale -- se résumant
à cette expérience seule.
Je ne sais pas ce qu'est ce répertoire keynote
Pouvez-vous me dire ce qu'il réclame sans trouver ? Quel est donc ce
CERT payload ?
Heu, le certificat ? Je suppose que racoon est configuré en
authentification par certificats (rsasig ou hybride) ?
En effet. rsasig en l'occurrence.
Sans tout lire en détail :
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: keynote_cert_obtain: failed
to open "/etc/isakmpd/keynote/ /geekwu.org/credentials"
^^^
Est-ce bien normal ?
Je dois dire que je n'en sais rien (dans la log, il n'y a pas d'espace,
par contre, je ne sais d'où est sorti celui de mon post),
ma connaissance d'isakmpd -- et ipsec de manière générale -- se résumant
à cette expérience seule.
Je ne sais pas ce qu'est ce répertoire keynote
Pouvez-vous me dire ce qu'il réclame sans trouver ? Quel est donc ce
CERT payload ?
Heu, le certificat ? Je suppose que racoon est configuré en
authentification par certificats (rsasig ou hybride) ?
En effet. rsasig en l'occurrence.
Sans tout lire en détail :Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: keynote_cert_obtain: failed
to open "/etc/isakmpd/keynote/ /geekwu.org/credentials"
^^^
Est-ce bien normal ?
Je dois dire que je n'en sais rien (dans la log, il n'y a pas d'espace,
par contre, je ne sais d'où est sorti celui de mon post),
ma connaissance d'isakmpd -- et ipsec de manière générale -- se résumant
à cette expérience seule.
Je ne sais pas ce qu'est ce répertoire keynote
Pouvez-vous me dire ce qu'il réclame sans trouver ? Quel est donc ce
CERT payload ?
Heu, le certificat ? Je suppose que racoon est configuré en
authentification par certificats (rsasig ou hybride) ?
En effet. rsasig en l'occurrence.
Sans tout lire en détail :Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: keynote_cert_obtain: failed
to open "/etc/isakmpd/keynote/ /geekwu.org/credentials"
^^^
Est-ce bien normal ?
Je dois dire que je n'en sais rien (dans la log, il n'y a pas d'espace,
par contre, je ne sais d'où est sorti celui de mon post),
Ok.ma connaissance d'isakmpd -- et ipsec de manière générale -- se résumant
à cette expérience seule.
Je ne sais pas ce qu'est ce répertoire keynote
Là, je ne saurais pas t'aider. Mais le problème vient sans doute de ce
côté là : l'initiateur chercherait son certificat mais ne le trouverait
pas.Pouvez-vous me dire ce qu'il réclame sans trouver ? Quel est donc ce
CERT payload ?
Heu, le certificat ? Je suppose que racoon est configuré en
authentification par certificats (rsasig ou hybride) ?
En effet. rsasig en l'occurrence.
Donc il faut bien une paire de certificats et leurs clés. Signés par
une autorité reconnue de chacun (si je me souviens bien).
J'ai bien une paire de certificats signés par la même CA, désignée dans
Nota : une config racoon/racoon serait peut-être plus simple ?
Ça aurait été une idée, mais je n'ai pas racoon sur mon openBSD. Et pas
Sans tout lire en détail :
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: keynote_cert_obtain: failed
to open "/etc/isakmpd/keynote/ /geekwu.org/credentials"
^^^
Est-ce bien normal ?
Je dois dire que je n'en sais rien (dans la log, il n'y a pas d'espace,
par contre, je ne sais d'où est sorti celui de mon post),
Ok.
ma connaissance d'isakmpd -- et ipsec de manière générale -- se résumant
à cette expérience seule.
Je ne sais pas ce qu'est ce répertoire keynote
Là, je ne saurais pas t'aider. Mais le problème vient sans doute de ce
côté là : l'initiateur chercherait son certificat mais ne le trouverait
pas.
Pouvez-vous me dire ce qu'il réclame sans trouver ? Quel est donc ce
CERT payload ?
Heu, le certificat ? Je suppose que racoon est configuré en
authentification par certificats (rsasig ou hybride) ?
En effet. rsasig en l'occurrence.
Donc il faut bien une paire de certificats et leurs clés. Signés par
une autorité reconnue de chacun (si je me souviens bien).
J'ai bien une paire de certificats signés par la même CA, désignée dans
Nota : une config racoon/racoon serait peut-être plus simple ?
Ça aurait été une idée, mais je n'ai pas racoon sur mon openBSD. Et pas
Sans tout lire en détail :Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: keynote_cert_obtain: failed
to open "/etc/isakmpd/keynote/ /geekwu.org/credentials"
^^^
Est-ce bien normal ?
Je dois dire que je n'en sais rien (dans la log, il n'y a pas d'espace,
par contre, je ne sais d'où est sorti celui de mon post),
Ok.ma connaissance d'isakmpd -- et ipsec de manière générale -- se résumant
à cette expérience seule.
Je ne sais pas ce qu'est ce répertoire keynote
Là, je ne saurais pas t'aider. Mais le problème vient sans doute de ce
côté là : l'initiateur chercherait son certificat mais ne le trouverait
pas.Pouvez-vous me dire ce qu'il réclame sans trouver ? Quel est donc ce
CERT payload ?
Heu, le certificat ? Je suppose que racoon est configuré en
authentification par certificats (rsasig ou hybride) ?
En effet. rsasig en l'occurrence.
Donc il faut bien une paire de certificats et leurs clés. Signés par
une autorité reconnue de chacun (si je me souviens bien).
J'ai bien une paire de certificats signés par la même CA, désignée dans
Nota : une config racoon/racoon serait peut-être plus simple ?
Ça aurait été une idée, mais je n'ai pas racoon sur mon openBSD. Et pas
J'ai bien une paire de certificats signés par la même CA, désignée dans
isakmpd.policy :
Authorizer: "POLICY"
Licensees:
"DN:/C=FR/ST=IDF/L=Kremlin-Bicetre/O=geekwu.org/CN=geekwu.org/emailAddress="
[...]
le certificat de la CA est dans ca/ ma clef dans certs/ ...
J'ai bien une paire de certificats signés par la même CA, désignée dans
isakmpd.policy :
Authorizer: "POLICY"
Licensees:
"DN:/C=FR/ST=IDF/L=Kremlin-Bicetre/O=geekwu.org/CN=geekwu.org/emailAddress=root@geekwu.org"
[...]
le certificat de la CA est dans ca/ ma clef dans certs/ ...
J'ai bien une paire de certificats signés par la même CA, désignée dans
isakmpd.policy :
Authorizer: "POLICY"
Licensees:
"DN:/C=FR/ST=IDF/L=Kremlin-Bicetre/O=geekwu.org/CN=geekwu.org/emailAddress="
[...]
le certificat de la CA est dans ca/ ma clef dans certs/ ...
Le Fri, 12 Jan 2007 14:54:20 +0100,
Bastien Durel écrivait:J'ai bien une paire de certificats signés par la même CA, désignée dans
isakmpd.policy :
Authorizer: "POLICY"
Licensees:
"DN:/C=FR/ST=IDF/L=Kremlin-Bicetre/O=geekwu.org/CN=geekwu.org/emailAddress="
[...]
le certificat de la CA est dans ca/ ma clef dans certs/ ...
Peut-etre qu'indiquer vos isakmpd.conf, racoon.conf et isakmpd.policy
complets aiderait. Vous pouvez avoir surchargà le path des certificats
par defaut via isakmpd.conf, ou utiliser purement keynote ...
Tcpdump aide bien aussi, par ex :
tcpdump -nvs 1500 -i INTERFACE
'proto esp or proto ah or (proto udp and port 500 or 4500)'
Avez-vous d'abord tente une config plus simple (par exemple avec une clef
partagee) pour verifier d'eventuels problemes d'interoperabilite ?
Bonjour,
Le Fri, 12 Jan 2007 14:54:20 +0100,
Bastien Durel <bastien@geekwu.org> écrivait:
J'ai bien une paire de certificats signés par la même CA, désignée dans
isakmpd.policy :
Authorizer: "POLICY"
Licensees:
"DN:/C=FR/ST=IDF/L=Kremlin-Bicetre/O=geekwu.org/CN=geekwu.org/emailAddress=root@geekwu.org"
[...]
le certificat de la CA est dans ca/ ma clef dans certs/ ...
Peut-etre qu'indiquer vos isakmpd.conf, racoon.conf et isakmpd.policy
complets aiderait. Vous pouvez avoir surchargà le path des certificats
par defaut via isakmpd.conf, ou utiliser purement keynote ...
Tcpdump aide bien aussi, par ex :
tcpdump -nvs 1500 -i INTERFACE
'proto esp or proto ah or (proto udp and port 500 or 4500)'
Avez-vous d'abord tente une config plus simple (par exemple avec une clef
partagee) pour verifier d'eventuels problemes d'interoperabilite ?
Bonjour,
Le Fri, 12 Jan 2007 14:54:20 +0100,
Bastien Durel écrivait:J'ai bien une paire de certificats signés par la même CA, désignée dans
isakmpd.policy :
Authorizer: "POLICY"
Licensees:
"DN:/C=FR/ST=IDF/L=Kremlin-Bicetre/O=geekwu.org/CN=geekwu.org/emailAddress="
[...]
le certificat de la CA est dans ca/ ma clef dans certs/ ...
Peut-etre qu'indiquer vos isakmpd.conf, racoon.conf et isakmpd.policy
complets aiderait. Vous pouvez avoir surchargà le path des certificats
par defaut via isakmpd.conf, ou utiliser purement keynote ...
Tcpdump aide bien aussi, par ex :
tcpdump -nvs 1500 -i INTERFACE
'proto esp or proto ah or (proto udp and port 500 or 4500)'
Avez-vous d'abord tente une config plus simple (par exemple avec une clef
partagee) pour verifier d'eventuels problemes d'interoperabilite ?
Bonjour,
Bonjour,
Je n'ai pas essayé de configuration plus simple, effectivement, car je
n'ai pas pensé que cela pouvait poser problème. Et aussi que je ne veux
pas utiliser de clef partagée.
pour ce qui est de la configuration :
:~$ sudo cat /etc/racoon/racoon-tool.conf
#
# Configuration file for racoon-tool
#
# See racoon-tool.conf(5) for details
Bonjour,
Je n'ai pas essayé de configuration plus simple, effectivement, car je
n'ai pas pensé que cela pouvait poser problème. Et aussi que je ne veux
pas utiliser de clef partagée.
pour ce qui est de la configuration :
bastien@kaitain:~$ sudo cat /etc/racoon/racoon-tool.conf
#
# Configuration file for racoon-tool
#
# See racoon-tool.conf(5) for details
Bonjour,
Je n'ai pas essayé de configuration plus simple, effectivement, car je
n'ai pas pensé que cela pouvait poser problème. Et aussi que je ne veux
pas utiliser de clef partagée.
pour ce qui est de la configuration :
:~$ sudo cat /etc/racoon/racoon-tool.conf
#
# Configuration file for racoon-tool
#
# See racoon-tool.conf(5) for details
Bonjour,
Je n'ai pas essayé de configuration plus simple, effectivement, car je
n'ai pas pensé que cela pouvait poser problème. Et aussi que je ne veux
pas utiliser de clef partagée.
pour ce qui est de la configuration :
:~$ sudo cat /etc/racoon/racoon-tool.conf
#
# Configuration file for racoon-tool
#
# See racoon-tool.conf(5) for details
Ca, c'est l'outil de configuration de racoon mis au point par debian, si
je ne me trompe. Attention que racoon en question n'utilise pas
directement ce fichier, et que cet outil n'a, pour autant que je sache,
pas été mis à jour depuis la reprise du projet ipsec-tools (donc pour
les versions au dessus de 3).
Il faudrait vérifier déjà que le racoon.conf qui a été généré est
valide ; tu peux éventuellement aussi le poster ici.
Fred
Effectivement, j'aurais du poster le fichier généré ... le voici donc :
Bonjour,
Je n'ai pas essayé de configuration plus simple, effectivement, car je
n'ai pas pensé que cela pouvait poser problème. Et aussi que je ne veux
pas utiliser de clef partagée.
pour ce qui est de la configuration :
bastien@kaitain:~$ sudo cat /etc/racoon/racoon-tool.conf
#
# Configuration file for racoon-tool
#
# See racoon-tool.conf(5) for details
Ca, c'est l'outil de configuration de racoon mis au point par debian, si
je ne me trompe. Attention que racoon en question n'utilise pas
directement ce fichier, et que cet outil n'a, pour autant que je sache,
pas été mis à jour depuis la reprise du projet ipsec-tools (donc pour
les versions au dessus de 3).
Il faudrait vérifier déjà que le racoon.conf qui a été généré est
valide ; tu peux éventuellement aussi le poster ici.
Fred
Effectivement, j'aurais du poster le fichier généré ... le voici donc :
Bonjour,
Je n'ai pas essayé de configuration plus simple, effectivement, car je
n'ai pas pensé que cela pouvait poser problème. Et aussi que je ne veux
pas utiliser de clef partagée.
pour ce qui est de la configuration :
:~$ sudo cat /etc/racoon/racoon-tool.conf
#
# Configuration file for racoon-tool
#
# See racoon-tool.conf(5) for details
Ca, c'est l'outil de configuration de racoon mis au point par debian, si
je ne me trompe. Attention que racoon en question n'utilise pas
directement ce fichier, et que cet outil n'a, pour autant que je sache,
pas été mis à jour depuis la reprise du projet ipsec-tools (donc pour
les versions au dessus de 3).
Il faudrait vérifier déjà que le racoon.conf qui a été généré est
valide ; tu peux éventuellement aussi le poster ici.
Fred
Effectivement, j'aurais du poster le fichier généré ... le voici donc :
path certificate "/etc/racoon/certs";
path certificate "/etc/racoon/certs";
path certificate "/etc/racoon/certs";
path certificate "/etc/racoon/certs";
Dernière question avant de conclure que racoon est bien configuré : y
a-t-il un lien symbolique avec le hash de la CA dans ce répertoire ?
La commande à lancer est du genre :
ln -s ca_cert.pem `openssl x509 -noout -hash -in ca_cert.pem`.0
Oui, il est là.
path certificate "/etc/racoon/certs";
Dernière question avant de conclure que racoon est bien configuré : y
a-t-il un lien symbolique avec le hash de la CA dans ce répertoire ?
La commande à lancer est du genre :
ln -s ca_cert.pem `openssl x509 -noout -hash -in ca_cert.pem`.0
Oui, il est là.
path certificate "/etc/racoon/certs";
Dernière question avant de conclure que racoon est bien configuré : y
a-t-il un lien symbolique avec le hash de la CA dans ce répertoire ?
La commande à lancer est du genre :
ln -s ca_cert.pem `openssl x509 -noout -hash -in ca_cert.pem`.0
Oui, il est là.