Je me d=E9bats pour =E9tablir une connection ipsec avec racoon (vers
isakmp/openBSD) ; j'utilise des certificats x509, mais j'ai une erreur
=E0 la phase 1 (j'ai fait sauter le d=E9tail des clefs et paquets) :
Jan 11 14:24:55 ks34006 racoon: DEBUG: 188 bytes message received from
81.56.27.175[500] to 213.251.169.20[500]
Jan 11 14:24:55 ks34006 racoon: DEBUG: begin decryption.
Jan 11 14:24:55 ks34006 racoon: DEBUG: encryption(aes)
Jan 11 14:24:55 ks34006 racoon: DEBUG: IV was saved for next
processing:
Jan 11 14:24:55 ks34006 racoon: DEBUG: 3a7abe39 dd504793
Jan 11 14:24:55 ks34006 racoon: DEBUG: encryption(aes)
Jan 11 14:24:55 ks34006 racoon: DEBUG: decrypted payload by IV:
Jan 11 14:24:55 ks34006 racoon: DEBUG: 971b2ff1 9e97f4d4
Jan 11 14:24:55 ks34006 racoon: DEBUG: decrypted payload, but not
trimed.
Jan 11 14:24:55 ks34006 racoon: DEBUG: begin.
Jan 11 14:24:55 ks34006 racoon: DEBUG: seen nptype=3D5(id)
Jan 11 14:24:55 ks34006 racoon: DEBUG: seen nptype=3D9(sig)
Jan 11 14:24:55 ks34006 racoon: DEBUG: succeed.
Jan 11 14:24:55 ks34006 racoon: DEBUG: SIGN passed:
Jan 11 14:24:55 ks34006 racoon: ERROR: no peer's CERT payload found.
En face, j'ai :
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: exchange_validate: checking
for required ID
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: exchange_validate: checking
for required AUTH
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: ike_phase_1_recv_ID:
IPV4_ADDR:
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: d5fba914
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: x509_generate_kn: generating
KeyNote policy for certificat e 0x7da35580
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: x509_generate_kn: added
credential
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: x509_generate_kn: added
credential: Authorizer: "DN:/C=3DFR/
ST=3DIDF/L=3DKremlin-Bicetre/O=3Dgeekwu.org/CN=3Dgeekwu.org/emailAddress=3D=
root@geekwu.org"
Licensees: "DN:/C=3DF R/ST=3DIDF/L=3DRoubaix/O=3Dgeekwu.org/OU=3Dkaita
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: ike_phase_1_recv_AUTH:
computed HASH_I:
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: 25ffa136 8d3633c0 48c8d5b9
0b4d8105 34feabed
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]:
exchange_handle_leftover_payloads: unexpected payload CERT _REQ
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: exchange_run: exchange
0x86deae00 finished step 4, advanci ng...
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: ike_phase_1_send_ID: FQDN:
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: 6765656b 77752e6f 7267
Jan 11 14:24:09 10.42.42.1 isakmpd[19136]: keynote_cert_obtain: failed
to open "/etc/isakmpd/keynote/ /geekwu.org/credentials"
Jan 11 14:24:10 10.42.42.1 isakmpd[19136]: exchange_validate: checking
for required ID
Jan 11 14:24:10 10.42.42.1 isakmpd[19136]: exchange_validate: checking
for required AUTH
Jan 11 14:24:10 10.42.42.1 isakmpd[19136]: exchange_run: exchange
0x86deae00 finished step 5, advanci ng...
Jan 11 14:24:10 10.42.42.1 isakmpd[19136]: exchange_finalize:
0x86deae00 ISAKMP Default-main-mode pol icy responder phase 1 doi 1
exchange 2 step 6
Jan 11 14:24:10 10.42.42.1 isakmpd[19136]: exchange_finalize: icookie
37f80af40c70f97e rcookie e2274a f59200ba4b
Jan 11 14:24:10 10.42.42.1 isakmpd[19136]: exchange_finalize: msgid
00000000
Jan 11 14:24:10 10.42.42.1 isakmpd[19136]: checking whether new SA
replaces existing SA with IDs geek wu.org d5fba914: 213.251.169.20
Jan 11 14:24:10 10.42.42.1 isakmpd[19136]: exchange_finalize: phase 1
done: initiator id d5fba914: 21 3.251.169.20, responder id geekwu.org,
src: 81.56.27.175 dst: 213.251.169.20
Pouvez-vous me dire ce qu'il r=E9clame sans trouver ? Quel est donc ce
CERT payload ?
Dernière question avant de conclure que racoon est bien configuré : y a-t-il un lien symbolique avec le hash de la CA dans ce répertoire ?
Oui, il est là.
Bon. Alors, ça ne va pas directement t'aider, je pense, mais, selon moi, ton racoon marche parfaitement et est configuré comme il faut.
Fred -- Walk on their side of the street? Don't walk where it feels the best? Walk away from people u meet? Don't talk 2 strangers Unless they walk the way u want them 2? (Prince, Walk Don't Walk)
F. Senault wrote:
Dernière question avant de conclure que racoon est bien configuré : y
a-t-il un lien symbolique avec le hash de la CA dans ce répertoire ?
Oui, il est là.
Bon. Alors, ça ne va pas directement t'aider, je pense, mais, selon
moi, ton racoon marche parfaitement et est configuré comme il faut.
Fred
--
Walk on their side of the street? Don't walk where it feels the best?
Walk away from people u meet? Don't talk 2 strangers
Unless they walk the way u want them 2?
(Prince, Walk Don't Walk)
Dernière question avant de conclure que racoon est bien configuré : y a-t-il un lien symbolique avec le hash de la CA dans ce répertoire ?
Oui, il est là.
Bon. Alors, ça ne va pas directement t'aider, je pense, mais, selon moi, ton racoon marche parfaitement et est configuré comme il faut.
Fred -- Walk on their side of the street? Don't walk where it feels the best? Walk away from people u meet? Don't talk 2 strangers Unless they walk the way u want them 2? (Prince, Walk Don't Walk)
Bastien Durel
F. Senault wrote:
Dernière question avant de conclure que racoon est bien configuré : y a-t-il un lien symbolique avec le hash de la CA dans ce répertoire ?
Oui, il est là.
Bon. Alors, ça ne va pas directement t'aider, je pense, mais, selon moi, ton racoon marche parfaitement et est configuré comme il faut.
Fred Bonjour,
Bon, je vais me replonger dans les documentations d'isakmpd alors ... Merci pour l'aide sur racoon :)
-- Bastien.
F. Senault wrote:
Dernière question avant de conclure que racoon est bien configuré : y
a-t-il un lien symbolique avec le hash de la CA dans ce répertoire ?
Oui, il est là.
Bon. Alors, ça ne va pas directement t'aider, je pense, mais, selon
moi, ton racoon marche parfaitement et est configuré comme il faut.
Fred
Bonjour,
Bon, je vais me replonger dans les documentations d'isakmpd alors ...
Merci pour l'aide sur racoon :)
