IPsec startet nicht

[Wormi]

Hallo zusammen,

ich habe nach verschiedenen Anleitungen auf 2 verschiedenen Servern (Debian 7.5) L2TP mit IPsec installiert.
Wenn ich versuche IPsec zu starten erhalte ich allerdings eine Fehlermeldung, bzw. keine Fehlermeldung.

Code: Alles auswählen

root@:/etc# /etc/init.d/ipsec restart
Segmentation fault
failed to start openswan IKE daemon - the following error occured:

root@:/etc/#

Weiß leider nicht weiter da der Fehler bei 2 verschiedenen Servern auftaucht. Was nun?

Gruß Wormi

[rendegast]

nach verschiedenen Anleitungen

?


Abfrage bei packages.debian.org:

[32]File [33]Packages
/etc/init.d/ipsec [34]openswan, [35]strongswan-starter

Bei einem einfachen '... install openswan', nix Konfiguration, gestoppt, kommt:

Code: Alles auswählen

# service ipsec restart
ipsec_setup: Stopping Openswan IPsec...
ipsec_setup: stop ordered, but IPsec appears to be already stopped!
ipsec_setup: doing cleanup anyway...
ipsec_setup: Starting Openswan IPsec 2.6.37...
ipsec_setup: No KLIPS support found while requested, desperately falling back to netkey
ipsec_setup: NETKEY support found. Use protostack=netkey in /etc/ipsec.conf to avoid attempts to use KLIPS. Attempting to continue with NETKEY

# service ipsec restart
ipsec_setup: Stopping Openswan IPsec...
ipsec_setup: Starting Openswan IPsec 2.6.37...
ipsec_setup: No KLIPS support found while requested, desperately falling back to netkey
ipsec_setup: NETKEY support found. Use protostack=netkey in /etc/ipsec.conf to avoid attempts to use KLIPS. Attempting to continue with NETKEY

# pstree |head
init-+-bash-+-head
     |      `-pstree
     |-_plutorun-+-_plutoload
     |           `-_plutorun---pluto-+-_pluto_adns
     |                               `-pluto

Eventuell ein Paket mit falscher Architektur per dpkg installiert?

auf 2 verschiedenen Servern

Vielleicht vServer ohne Möglichkeit, Module nachzuladen?

Code: Alles auswählen

# lsmod
Module                  Size  Used by
xfrm_user              34967  2
ah4                    12762  0
esp4                   16853  0
xfrm4_mode_beet        12555  0
xfrm4_tunnel           12617  0
xfrm4_mode_tunnel      12612  0
xfrm4_mode_transport    12490  0
ipcomp                 12468  0
tunnel6                12592  0
xfrm_ipcomp            12556  1 ipcomp
af_key                 35338  0
.....
......
usw. ~ 40 Stück

[hiaws]

Halli Hallo!

Ich hatte den gleichen Fehler, nachdem ich dieses Tutorial befolgt habe: "https://raymii.org/s/tutorials/IPSEC_L2 ... 14.04.html".
(Ist zwar nicht direkt Debian, sondern Ubuntu 14.04)

Das Problem lag in der IPSEC-Konfiguration /etc/ipsec.conf. Lösung: Am Ende der Datei ein RETURN einfügen. Schon startete IPSEC ohne Probleme neu.

Ob das so gewollt ist, bezweifle ich. Vielleicht hilft es ja den ein oder anderen weiter!


Viele Grüße
hiaws

[Cae]

Lösung: Am Ende der Datei ein RETURN einfügen. Schon startete IPSEC ohne Probleme neu.

Wenn dem so ist, dann handelt es sich um einen handfesten Bug. Vermutlich sucht der Parser nach noch folgenden Newlines, ohne die Textlaenge der Config zu beachten. Irgendwann liest er dann Speicher, auf den er nicht zugreifen darf, was zum segfault fuehrt.

Ein kurzer Blick in den Quellcode foerdert den call-trace

Code: Alles auswählen

programs/setup/setup.in:138 restart() {
programs/setup/setup.in:139     verify_config
programs/setup/setup.in:91 verify_config() {
programs/setup/setup.in:94     config_error=`ipsec addconn --checkconfig 2>&1`
openswan-2.6.37/programs/addconn/addconn.c:256     cfg = confread_load(configfile, &err, resolvip, ctlbase,typeexport);
openswan-2.6.37/lib/libipsecconf/confread.c:1226         cfgp = parser_load_conf(file, perr);
openswan-2.6.37/lib/libipsecconf/parser.y:468                         f = fopen(file, "r");
openswan-2.6.37/lib/libipsecconf/parser.y:471                         yyin = f;

zutage, wo die Datei wohl an den Yacc-Parser verfuettert wird. Danach verliert sich meine Spur, weil Parser furchtbare Dinger sind und ich mir das nicht antun will.

Gruss Cae