Oakley-Logging auf dem Mac aktivieren

[diabolicwords]

Hallo zusammen,

wer kann mir sagen oder besser noch beschreiben, wie ich das Oakley-Logging (ISAKMP-Aushandlung bei der IPSec-Einwahl) auf dem Mac aktiviere?

Ich habe mich schon mal vorab im Internet belesen. Dort wird gesagt, man solle racoon mit dem Parameter -d starten, da dann das Logging-Level tiefer ist. Leider kann ich das in meinem Fall nicht machen, weil ich eine VPN-Einwahl durchführe (IPSec over L2TP) und diese über die von Apple implementierte Funktion aus der GUI heraus starte. Ich wüsste nicht, wie ich das, was dann im Hintergrund alles abgeht, über das Terminal aktivieren sollte.

Daher hoffe ich, dass es irgend eine Config-Datei gibt, in der ich diesen "Schalter" aktivieren kann.

Auslöser dieser Fragestellung ist die Tatsache, dass Apple scheinbar mit Mac OS X 10.8 etwas an racoon geändert hat, was mir nun die Petersilie bei der IPSec-Einwahl in mein Firmen-VPN verhagelt. Ich kann über die Konsole sehen, dass die ISAKMP-Aushandlung startet und auch die ersten 3 Pakete als successful quittiert werden. Aber ab Packet 4 meldet unser Server einen Fehler und nach ein paar retransmission-Versuchen gibt racoon dann auf. An unserem Server kann es aber nicht liegen, denn mit allen anderen Mac OS X-Versionen seit 10.4 inklusive 10.7 Lion geht es!!!

Daher ist es unerlässlich, dass ich nicht nur die oberflächlichen Statusmeldungen in der Konsole sehe, sondern den Inhalt der ISAKMP-Pakete aufgeschlüsselt bekommen. Ich möchte dann die nicht funktionierende Variante mit der Funktionierenden vergleichen. Unter Windows kann man in der Registry das so genannte Oakley-Logging aktivieren. Wie kann man das beim Mac bewerkstelligen?

Ich hoffe Ihr könnt mir helfen!

 

[Pill]

Ich hatte auch das Problem, dass nach dem Upgrade auf Mountain Lion das VPN streikte. Bei mir war die Lösung im Schlüsselbund das Zertifikat per Doppelklick zu öffnen und unter Zugriff "Allen Programmen den Zugriff ermöglichen" auszuwählen.

 

[diabolicwords]

Hallo Pill,

das Zertifikat wird schon beim Import auf "allen Programmen den Zugriff ermöglichen" gesetzt. Ich hatte diesen Hinweis auch schon im Internet gefunden, es geprüft und festgestellt, dass der Haken schon gesetzt war/ist. Wenn racoon keinen Zugriff auf das Zertifikat hätte, würde er doch gar nicht erst mit dem ISAKMP-Prozess loslegen, oder?

Wie schon oben erwähnt, beginnen Client und Server mit der ISAKMP-Aushandlung und bis zum dritten Paket sind sich beide einig, dass alles passt. Erst dann werden sie sich uneinig. Und ich möchte gern wissen, was genau in diesem Moment passiert. Natürlich kann es noch immer irgendetwas mit dem Zertifikat zu tun haben, aber das kann ich nur herausfinden, wenn ich einen Einblick in die Kommunikation der beiden Systeme erhalte...

 

[Pill]

Ich hatte das auch irgendwo aus dem Apple-Support Forum raus, vllt find ich das noch (edit: hier). Da war es auch so, dass 3-4 Pakete ankommen und dann keins mehr. Deswegen hat mich dein Post an diesen Fall erinnert.

Ich kenne mich mit der Sache aber nur insofern aus, dass die Lösung in diesem Post auch mein Problem gelöst hat.

 

[diabolicwords]

Obwohl ich es schon vor Tagen probiert hatte, habe ich es noch einmal durchgespielt. Hier das ernüchternde Ergebnis:

Öffentlicher Schlüssel: Für alle Programme nutzbar. Uneingeschränktes Vertrauen.
Privater Schlüssel: Für alle Programme nutzbar. Uneingeschränktes Vertrauen.
VPN-Zertifikat: Uneingeschränktes Vertrauen.
Certificate Authority-Zertifikat meiner Firma: Uneingeschränktes Vertrauen.

Einwahlverhalten bei VPN-Einwahl "IPSec over L2TP" mit Racoon: Negativ. Weiterhin der gleiche Fehler.


Daher bitte ich Euch alle, die das hier noch lesen: "Lasst Euch bitte nicht von meiner eigentlichen Frage ablenken! Ich brauche keine Lösungshinweise für mein Einwahlproblem, sondern einen Lösungshinweis für meine eigentliche Frage."

Die lautet noch immer:

"WIE AKTIVIERE ICH AUF DEM MAC DAS OAKLEY-LOGGING FÜR RACOON? WIE KANN ICH DEN INHALT DER ISAKMP-PAKETE BEI DER SICHERHEITSAUSHANDLUNG SICHTBAR MACHEN?"

 

[diabolicwords]

Hat keiner eine Idee? Das wäre echt schade...

 

[diabolicwords]

So, für alle die es interessiert, ich habe meine Frage lösen können. Um ein detailliertes Racoon-Logging zu aktivieren, geht man wie folgt vor:

A) Die Datei /etc/racoon/racoon.conf öffnen
B) Dem Kommentar #log debug; die vorangestellte Raute nehmen. Damit wird der Eintrag aktiv. (log debug;)
C) Den Eintrag path logfile "/var/log/racoon.log"; direkt darunter hinzufügen.

Fertig. In der Datei /etc/racoon/racoon.conf steht jetzt also untereinander:

log debug;
path logfile "/var/log/racoon.log";

Wie man unschwer erkennen kann, erfolgt das Logging in die Datei /var/log/racoon.log

Ich habe es getestet.
Es funktioniert perfekt.
Das Ergebnis steht dem "Oakley-Log" unter Windows in nichts nach und ist teilweise sogar noch detaillierter!!!

 

[diabolicwords]

PS: Damit ist das Thema für mich erledigt ;o)