最近、Fedora3上、OpenSwanでVPNルータを構築したいけど、下記のエラーをずっと解消できません。
すごく困っていますから、よろしくお願いします。
ソフト:
Fedora3/Kernel2.6.9/OpenSwan2.2.0
回線:
Flets ADSL(Dynamic IP)
エラーメッセージ:
$less /var/log/secure
#716: starting keying attempt 25 of an unlimited number
#747: initiating Quick Mode RSASIG+ENCRYPT+COMPRESS+TUNNEL+UP to replace #716{using isakmp#580}
#741: ERROR: netlink response for Add SA comp.612f@XXX.XXX.XXX.XXX included errno 22: Invalid argument
#740: ERROR: netlink response for Add SA comp.9742@XXX.XXX.XXX.XXX included errno 22: Invalid argument
..................................
No.4ベストアンサー
- 回答日時:
ちょうど今 Fedora Core 3 の IPsec をテストしていたので、試してみました。
確かに、下記の設定では SA を Add する際にエラーになるようです。
そこで、省略できるオプションを削って試したところ、うまく接続できました。
(Fedora Core 3 の OpenSwan 同士ですが。)
絞り込んでいくと、どうも compress=yes を付けた場合にエラーになるようです。
エラーメッセージを頼りに検索すると、その原因は・・・
「モジュールの名前が変わったが古い名前が使われているので失敗する」
らしいです。
参考URLの通り以下のように変更すれば、compress=yes のまま動作しました。
(そのうち修正される不具合だと思います。)
[/usr/lib/ipsec/_startklips]
modprobe -qv xfrm_user
-> modprobe -qv xfrm4_tunnel
参考URL:http://lists.openswan.org/pipermail/users/2004-N …
この回答への補足
御答え 有難うございます。大変助かります。
言われた通りで修正すれば、両側のLANに、
ping XXX.XXX.XXX.XXX は成功しましたが、
/var/log/messagesに下記のエラーはまた残っています。
.................
ipsec__plutorun: ...could not start conn "vpn-conn1"
................
テスト環境は、
Fedora3+Freeswan2.06<->Redhat9+Freeswan2.05
又は
Fedora3+Openswan2.20<->Redhat9+Freeswan2.05
よろしくお願いします。
No.5
- 回答日時:
あまり自信ないですが、両側で auto=start と書いていませんか?
普通は(?)片方は auto=add で、もう片方は auto=start とすると良いそうです。
(auto=start と書いた方からネゴシエーションを開始しようとします。)
ちなみに、ご存知かもしれませんが auto=ignore としておいて、
# ipsec auto --add CONN_NAME 好きなコネクションを読込
# ipsec auto --up CONN_NAME ネゴシエート開始
とすることもできます。
ところで・・・
カーネル2.6用の正式な ipsec-tools はなかなか使い勝手が良かったです(^^)
カーネル2.6同士を繋ぐことになったら、ipsec-tools も便利かもしれませんね。
(BSDですが、参考URLに良い設定例があります。)
参考URL:http://menter.rightstuff.co.jp/~yasu/VPN/
No.3
- 回答日時:
No.2 です。
すみません、参考URL忘れました・・(^^;
ちなみに、/etc/ipsec.conf には落とし穴があります。
参考URLの書き方は古いらしく、
plutoload と plutostart は現在のバージョン(ipsec.conf の中に version 2 とある場合)では書かないようです。
今回の問題とは関係ないかもしれませんが・・。
この件については↓この辺りに書かれています。
http://www.freeswan.org/freeswan_trees/freeswan- …
参考URL:http://www.atmarkit.co.jp/flinux/special/ipsec/i …
この回答への補足
アドバイス有難うございます。
以前、Redhat Linux9+freeswan2.05対Redhat Linux9+freeswan2.05にして、PSKとRSA方式で成功しました。
今回は、Fedora 3+Openswan2.2(又はfreeswan2.06)対Redhat Linux9+freeswan2.05で、RSA方式で出来ていません。
両側のipsec.confファイルは下記の通りで同じに設定しております。
---------------------------------------
version2.0
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
rp_filter=0
conn %default
type=tunnel
compress=yes
authby=rsasig
pfs=no
auto=start
conn vpn-conn1
left=XXX.XXX.XXX.XXX
leftid=@left-gw
leftsubnet=192.168.1.0/24
leftnexthop=%defaultroute
leftrsasigkey=0sAQOgoz5djDc......
right=YYY.YYY.YYY.YYY
rightid=@right-gw
rightsubnet=192.168.10.0/24
rightnexthop=%defaultroute
rightrsasigkey=0sAQN3hJL+aHf......
conn block
auto=ignore
conn clear
auto=ignore
conn private
auto=ignore
conn private-or-clear
auto=ignore
conn clear-or-private
auto=ignore
conn packetdefault
auto=ignore
---------------------------------------
よろしくお願いします。
No.2
- 回答日時:
単に動かしたいだけなら X.509 までしなくても良さそうな気はしますが・・・
順序としては、多分
1. PSK(共通鍵, Pre Shared Key)
2. RSA公開鍵方式
3. X.509認証
の順に面倒になっていくと思いますので、
まずは一番単純な PSK を試してみてはいかがでしょう?
PSKの設定方法は参考URLを。
ちなみに Fedora Core 3 同士での接続ですよね?
No.1
- 回答日時:
アドバイスです。
Invalid argument ということは、
IPsec の設定に有効でない値が書かれているとか・・。
OpenSwan であれば多分設定は /etc/ipsec.conf ですね。
この中身を見せていただければ解決に近づくかもしれませんが。。
あと、OpenSwan(FreeS/WAN 系)はカーネル 2.4 時代のもので、
FC3 のカーネル 2.6 ではカーネルネイティブな IPsec スタックが使用されています。
一応 FreeS/WAN 系のツールでも設定できるはずですが、
下記の参考URLの通り正式な ipsec-tools を使う手もあります。(これも FC3 に RPM であります。)
VPNルータを構築するのであれば、参考URLを一読しておく価値はあるでしょう。
参考URL:http://www.linux.or.jp/JF/JFdocs/Adv-Routing-HOW …
この回答への補足
答え 有難うございます。
以前FreeSwanで設定した時、X.509認証を使わなくて、下記の通りでrsasigkeyを作成しました。
#ipsec rsasigkey --verbose 2048 > ipsec.secrets
今、OpenSwanの場合は、このままで行けませんでした。
X.509認証をしなければいけませんか?
よろしくお願いします。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- その他(パソコン・周辺機器) チャレンジタッチ3 改造 アプリインストールできない 1 2022/07/01 14:43
- Excel(エクセル) SUMIFSと日付変換 10 2023/04/16 15:38
- その他(メールソフト・メールサービス) ドメイン間違えでエラー送信メールが来ない 1 2022/05/10 18:44
- その他(Microsoft Office) パワークエリの複数ファイルのデータ統合について 3 2022/07/14 17:06
- ネットワーク コマンドプロンプトで、コマンドの飛ばし方を教えてください。 ネットワークにデータを飛ばす(copy) 4 2022/10/19 11:21
- UNIX・Linux bash のファイルの読み込み方についてご質問 3 2023/05/15 20:40
- 確定申告 確定申告しなかった場合の期末商品棚卸高の扱い 2 2022/06/11 21:24
- Excel(エクセル) excelvbaのwithについて 4 2022/12/19 16:51
- その他(プログラミング・Web制作) pythonで変数にオブジェクトを代入するにはどうしたらよいでしょうか 2 2023/08/20 20:36
- Visual Basic(VBA) worksheetFunctionクラスのVlookupプロパティを取得できません エラーへの対応 3 2022/12/27 22:27
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
KNOPPIXが起動しない場合の対処...
-
Linux」は有料のOSでUNIXは無料...
-
Linuxでダイナミックディスクっ...
-
画像処理でのカーネルの意味
-
『カーネルとの通信中にエラー...
-
/dev/nvme0n1p2 clean と表示さ...
-
RedHat Linux 8.0 同時セッショ...
-
OSについて調べています
-
power book G4でDVDーRにデー...
-
XNU の日本語発音を教えてください
-
Lubuntu のインストールに失敗...
-
パソコンでゲームをプレイしよ...
-
Windows2000を最新マシンにイン...
-
linux mint での無線LANが認識...
-
Raspberry Pi 3 A+ ブラウザ遅い
-
ubuntu 初期化について
-
オフラインのUbuntuにパッケー...
-
Canonのインクジェットプリンタ...
-
自分は、パソコンにAPEXを入れ...
-
システムBIOS画面をキャプチャ...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
パフォーマンスモニタの%Proces...
-
最近、よくOpenWall という言葉...
-
/dev/nvme0n1p2 clean と表示さ...
-
ブルースクリーンの原因が「ntk...
-
割り込み不可能?なプロセスを...
-
魔改造版Windows 2000をインス...
-
romfsってなんですか?
-
どうしてwindowsはMacと比べ動...
-
mac OSは、何のプログラミング...
-
macでカーネルのディレクトリは...
-
カーネルアップグレード後、una...
-
『カーネルとの通信中にエラー...
-
UNIXとBSDとLinuxの違いを小学...
-
Linux 32Bitと64Bitのメモリー...
-
Dockerコンテナ(centos7.9)の...
-
エラー”Illegal seek”はどんな...
-
カーネルスタック不足について
-
カーネルバッファとは何でしょうか
-
マザーボード用ドライバ
-
rdevコマンドについて
おすすめ情報