- ベストアンサー
Fedora3上、OpenSwanでのVPNルータに関するエラー
- 最近、Fedora3上、OpenSwanでVPNルータを構築したいけど、エラーを解消できません。
- 困っているので、助けてください。
- ソフトウェア:Fedora3/Kernel2.6.9/OpenSwan2.2.0、回線:Flets ADSL(Dynamic IP)
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (4)
- fukku22
- ベストアンサー率57% (15/26)
あまり自信ないですが、両側で auto=start と書いていませんか? 普通は(?)片方は auto=add で、もう片方は auto=start とすると良いそうです。 (auto=start と書いた方からネゴシエーションを開始しようとします。) ちなみに、ご存知かもしれませんが auto=ignore としておいて、 # ipsec auto --add CONN_NAME 好きなコネクションを読込 # ipsec auto --up CONN_NAME ネゴシエート開始 とすることもできます。 ところで・・・ カーネル2.6用の正式な ipsec-tools はなかなか使い勝手が良かったです(^^) カーネル2.6同士を繋ぐことになったら、ipsec-tools も便利かもしれませんね。 (BSDですが、参考URLに良い設定例があります。)
お礼
確かに、言われた通りで出来ました。 どうも有難うございます。
- fukku22
- ベストアンサー率57% (15/26)
No.2 です。 すみません、参考URL忘れました・・(^^; ちなみに、/etc/ipsec.conf には落とし穴があります。 参考URLの書き方は古いらしく、 plutoload と plutostart は現在のバージョン(ipsec.conf の中に version 2 とある場合)では書かないようです。 今回の問題とは関係ないかもしれませんが・・。 この件については↓この辺りに書かれています。 http://www.freeswan.org/freeswan_trees/freeswan-2.06/doc/HowTo.html#2_5
補足
アドバイス有難うございます。 以前、Redhat Linux9+freeswan2.05対Redhat Linux9+freeswan2.05にして、PSKとRSA方式で成功しました。 今回は、Fedora 3+Openswan2.2(又はfreeswan2.06)対Redhat Linux9+freeswan2.05で、RSA方式で出来ていません。 両側のipsec.confファイルは下記の通りで同じに設定しております。 --------------------------------------- version 2.0 config setup interfaces=%defaultroute klipsdebug=none plutodebug=none rp_filter=0 conn %default type=tunnel compress=yes authby=rsasig pfs=no auto=start conn vpn-conn1 left=XXX.XXX.XXX.XXX leftid=@left-gw leftsubnet=192.168.1.0/24 leftnexthop=%defaultroute leftrsasigkey=0sAQOgoz5djDc...... right=YYY.YYY.YYY.YYY rightid=@right-gw rightsubnet=192.168.10.0/24 rightnexthop=%defaultroute rightrsasigkey=0sAQN3hJL+aHf...... conn block auto=ignore conn clear auto=ignore conn private auto=ignore conn private-or-clear auto=ignore conn clear-or-private auto=ignore conn packetdefault auto=ignore --------------------------------------- よろしくお願いします。
- fukku22
- ベストアンサー率57% (15/26)
- fukku22
- ベストアンサー率57% (15/26)
アドバイスです。 Invalid argument ということは、 IPsec の設定に有効でない値が書かれているとか・・。 OpenSwan であれば多分設定は /etc/ipsec.conf ですね。 この中身を見せていただければ解決に近づくかもしれませんが。。 あと、OpenSwan(FreeS/WAN 系)はカーネル 2.4 時代のもので、 FC3 のカーネル 2.6 ではカーネルネイティブな IPsec スタックが使用されています。 一応 FreeS/WAN 系のツールでも設定できるはずですが、 下記の参考URLの通り正式な ipsec-tools を使う手もあります。(これも FC3 に RPM であります。) VPNルータを構築するのであれば、参考URLを一読しておく価値はあるでしょう。
補足
答え 有難うございます。 以前FreeSwanで設定した時、X.509認証を使わなくて、下記の通りでrsasigkeyを作成しました。 #ipsec rsasigkey --verbose 2048 > ipsec.secrets 今、OpenSwanの場合は、このままで行けませんでした。 X.509認証をしなければいけませんか? よろしくお願いします。
補足
御答え 有難うございます。大変助かります。 言われた通りで修正すれば、両側のLANに、 ping XXX.XXX.XXX.XXX は成功しましたが、 /var/log/messagesに下記のエラーはまた残っています。 ................. ipsec__plutorun: ...could not start conn "vpn-conn1" ................ テスト環境は、 Fedora3+Freeswan2.06<->Redhat9+Freeswan2.05 又は Fedora3+Openswan2.20<->Redhat9+Freeswan2.05 よろしくお願いします。