Fedora3上、OpenSwanでのVPNルータに関するエラー

Question

最近、Fedora3上、OpenSwanでVPNルータを構築したいけど、下記のエラーをずっと解消できません。
すごく困っていますから、よろしくお願いします。

ソフト：
Fedora3/Kernel2.6.9/OpenSwan2.2.0
回線：
Flets ADSL(Dynamic IP)

エラーメッセージ：
$less /var/log/secure
#716: starting keying attempt 25 of an unlimited number
#747: initiating Quick Mode RSASIG+ENCRYPT+COMPRESS+TUNNEL+UP to replace #716{using isakmp#580}
#741: ERROR: netlink response for Add SA comp.612f@XXX.XXX.XXX.XXX included errno 22: Invalid argument
#740: ERROR: netlink response for Add SA comp.9742@XXX.XXX.XXX.XXX included errno 22: Invalid argument
..................................

fukku22 · Accepted Answer

ちょうど今 Fedora Core 3 の IPsec をテストしていたので、試してみました。

確かに、下記の設定では SA を Add する際にエラーになるようです。
そこで、省略できるオプションを削って試したところ、うまく接続できました。
（Fedora Core 3 の OpenSwan 同士ですが。）

絞り込んでいくと、どうも compress=yes を付けた場合にエラーになるようです。

エラーメッセージを頼りに検索すると、その原因は・・・
「モジュールの名前が変わったが古い名前が使われているので失敗する」
らしいです。

参考URLの通り以下のように変更すれば、compress=yes のまま動作しました。
（そのうち修正される不具合だと思います。）

[/usr/lib/ipsec/_startklips]
modprobe -qv xfrm_user
-> modprobe -qv xfrm4_tunnel

参考URL：http://lists.openswan.org/pipermail/users/2004-November/002960.html

fukku22 · Answer

あまり自信ないですが、両側で auto=start と書いていませんか？
普通は（？）片方は auto=add で、もう片方は auto=start とすると良いそうです。
（auto=start と書いた方からネゴシエーションを開始しようとします。）

ちなみに、ご存知かもしれませんが auto=ignore としておいて、
# ipsec auto --add CONN_NAME  好きなコネクションを読込
# ipsec auto --up CONN_NAME  ネゴシエート開始
とすることもできます。

ところで・・・
カーネル2.6用の正式な ipsec-tools はなかなか使い勝手が良かったです(^^)
カーネル2.6同士を繋ぐことになったら、ipsec-tools も便利かもしれませんね。
（BSDですが、参考URLに良い設定例があります。）

参考URL：http://menter.rightstuff.co.jp/~yasu/VPN/

fukku22 · Answer

No.2 です。
すみません、参考URL忘れました・・(^^;

ちなみに、/etc/ipsec.conf には落とし穴があります。
参考URLの書き方は古いらしく、
plutoload と plutostart は現在のバージョン（ipsec.conf の中に version 2 とある場合）では書かないようです。
今回の問題とは関係ないかもしれませんが・・。

この件については↓この辺りに書かれています。
http://www.freeswan.org/freeswan_trees/freeswan-2.06/doc/HowTo.html#2_5

参考URL：http://www.atmarkit.co.jp/flinux/special/ipsec/ipsec01c.html

fukku22 · Answer

単に動かしたいだけなら X.509 までしなくても良さそうな気はしますが・・・

順序としては、多分

1. PSK（共通鍵, Pre Shared Key）
2. RSA公開鍵方式
3. X.509認証

の順に面倒になっていくと思いますので、
まずは一番単純な PSK を試してみてはいかがでしょう？

PSKの設定方法は参考URLを。

ちなみに Fedora Core 3 同士での接続ですよね？

fukku22 · Answer

アドバイスです。

Invalid argument ということは、
IPsec の設定に有効でない値が書かれているとか・・。

OpenSwan であれば多分設定は /etc/ipsec.conf ですね。
この中身を見せていただければ解決に近づくかもしれませんが。。

あと、OpenSwan（FreeS/WAN 系）はカーネル 2.4 時代のもので、
FC3 のカーネル 2.6 ではカーネルネイティブな IPsec スタックが使用されています。

一応 FreeS/WAN 系のツールでも設定できるはずですが、
下記の参考URLの通り正式な ipsec-tools を使う手もあります。（これも FC3 に RPM であります。）
VPNルータを構築するのであれば、参考URLを一読しておく価値はあるでしょう。

参考URL：http://www.linux.or.jp/JF/JFdocs/Adv-Routing-HOWTO/lartc.ipsec.html

Fedora3上、OpenSwanでのVPNルータに関するエラー

ちょうど今 Fedora Core 3 の IPsec をテストしていたので、試してみました。

この回答への補足

あまり自信ないですが、両側で auto=start と書いていませんか？

No.2 です。

この回答への補足

単に動かしたいだけなら X.509 までしなくても良さそうな気はしますが・・・

アドバイスです。

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング