IPsec mezi FreeBSD a Win2k

[Dan Lukes]

Petr Holub wrote:


>>Mam problem pri vytvareni spojeni mezi FreeBSD a Win2k.


>>Import klicu z FreeBSD do Win2k probehl OK.
>>2002-06-28 08:23:43: INFO: vendorid.c:128:check_vendorid(): received
>>Vendor IDEl
>>2002-06-28 08:23:44: ERROR: oakley.c:1532:oakley_getsign(): failed to
>>get private key.


>>Kde muze byt chyba ? 

	Mate klice na Windows ulozene v "Computer store" nikoli v "Personal 
store" ? Klic CA, ktera certifikovala klice, ktere nyni mate na Voknech 
mate n FreeBSD pojmenovan "hash".0 jmenem ?

	Do debug logu na WIndowsech jste se dival, jestli tam nebude neco 
zajimaveho ?
--------
Logovani IPsec na strane Windows se zapne v registry:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PolicyAgent\Oakley]
"EnableLogging"=dword:00000001
"Debug"=dword:000000ff

	log se vytvari v %SystemRoot%\debug\oakley.log - ale format neni nikde 
popsany, takze je nutna intuice a znalost ISAKMP protokolu.
-----------

	Ono toho, bohuzel, muze byt strasna spousta co je pripadne spatne, navic 
v tomto ohledu je mozna snazsi popsat vam cely postup konfigurace nez 
hledat kde je chyba ve vasem nastaveni ...

	Ja to zkousel uz pred ctvrt rokem a tak uz si detaily nepamatuju - a 
transportni mod za situace, kdy obe strany mely statickou adresu mi 
pripadal trivialni, takze jsem si ho ani nezapsal. V pripade nouze tu 
jeste mam (almost) step-by-step postup jak rozjet transport-mode IPSec 
mezi FreeBSD se statickou adresou a W2K s adresou dynamickou - neni to 
presne to co potrebujete, ale treba by vam to pomohlo.

						Dan


-- 
Dan Lukes      tel: +420 2 21914205, fax: +420 2 21914206
root  of FIONet,  KolejNET,  webmaster  of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz