
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">


<HTML><HEAD>


<META content="text/html; charset=gb2312" http-equiv=Content-Type>


<META name=GENERATOR content="MSHTML 8.00.6001.18372">


<STYLE>BLOCKQUOTE {


        MARGIN-TOP: 0px; MARGIN-BOTTOM: 0px; MARGIN-LEFT: 2em


}


OL {


        MARGIN-TOP: 0px; MARGIN-BOTTOM: 0px


}


UL {


        MARGIN-TOP: 0px; MARGIN-BOTTOM: 0px


}


</STYLE>


</HEAD>


<BODY style="FONT-FAMILY: verdana; FONT-SIZE: 10pt">


<DIV><FONT size=2 face=Verdana>I &nbsp;am come from china ,my english is very 


poor ! and need some one can help me ! i just want one-way certification ,thany 


u !</FONT></DIV>


<DIV>now let\s begin </DIV>


<DIV>&nbsp;</DIV>


<DIV><FONT size=2 face=Verdana>Topology</FONT></DIV>


<DIV>&nbsp;</DIV>


<DIV>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


gw-left(eth0)-------(eth1)route(eth0)---------(eth0)gw-right</DIV>


<DIV>&nbsp;</DIV>


<DIV>gw-left: eth0 192.168.1.2 </DIV>


<DIV>route&nbsp;&nbsp; : eth0 192.168.2.1 eth1 192.168.1.1</DIV>


<DIV>gw-right: eth0 192.168.2.2</DIV>


<DIV>&nbsp;</DIV>


<DIV><FONT size=2 face=Verdana>my ipsec.conf config:</FONT></DIV>


<DIV>&nbsp;</DIV>


<DIV>gw-right:</DIV>


<DIV>conn %default<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


authby=rsasig<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


compress=yes<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


leftrsasigkey=%cert<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


rightrsasigkey=%cert<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


keyingtries=1<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


disablearrivalcheck=no<BR>#Disable Opportunistic Encryption<BR>include 


/etc/ipsec.d/examples/no_oe.conf<BR># sample VPN connections, see 


/etc/ipsec.d/examples/<BR>conn 


x509<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


left=192.168.1.2<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


leftsubnet=10.0.0.0/8<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


leftcert=left.pem<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


leftnexthop=%defaultroute<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


right=192.168.2.2<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


rightsubnet=172.16.1.0/24<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


rightid=192.168.2.2<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


#rightcert=right.pem<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


rightnexthop=%defaultroute<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


pfs=no<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auto=add<BR></DIV>


<DIV>gw-left:</DIV>


<DIV>conn %default<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


authby=rsasig<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


compress=yes<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


leftrsasigkey=%cert<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


rightrsasigkey=%cert<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


keyingtries=1<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


disablearrivalcheck=no<BR>#Disable Opportunistic Encryption<BR>include 


/etc/ipsec.d/examples/no_oe.conf<BR># sample VPN connections, see 


/etc/ipsec.d/examples/<BR>conn 


x509<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


left=192.168.1.2<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


leftsubnet=10.0.0.0/8<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


leftcert=left.pem<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


leftnexthop=%defaultroute<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


right=192.168.2.2<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


rightid=192.168.2.2<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


rightsubnet=172.16.1.0/24<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


#rightcert=right.pem<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


rightnexthop=%defaultroute<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 


pfs=no<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auto=add<BR></DIV>


<DIV>&nbsp;</DIV>


<DIV>when i from gw-right send request , and it fail !</DIV>


<DIV>log :</DIV>


<DIV>gw-left:/etc# startipsec x509<BR>104 "x509" #2: STATE_MAIN_I1: 


initiate<BR>003 "x509" #2: received Vendor ID payload [Openswan (this version) 


2.4.6&nbsp; X.509-1.5.4 LDAP_V3 PLUTO_SENDS_VENDORID PLUTO_USES_KEYRR]<BR>003 


"x509" #2: received Vendor ID payload [Dead Peer Detection]<BR>003 "x509" #2: 


received Vendor ID payload [RFC 3947] method set to=110<BR>106 "x509" #2: 


STATE_MAIN_I2: sent MI2, expecting MR2<BR>003 "x509" #2: NAT-Traversal: Result 


using 3: no NAT detected<BR>108 "x509" #2: STATE_MAIN_I3: sent MI3, expecting 


MR3<BR>003 "x509" #2: no RSA public key known for '192.168.2.2'<BR>217 "x509" 


#2: STATE_MAIN_I3: INVALID_KEY_INFORMATION<BR></DIV>


<DIV>best regard !</DIV>


<DIV align=left><FONT color=#c0c0c0 size=2 face=Verdana>2009-04-02 


</FONT></DIV><FONT size=2 face=Verdana>


<HR style="WIDTH: 122px; HEIGHT: 2px" align=left SIZE=2>


<DIV><FONT color=#c0c0c0 size=2 face=Verdana><SPAN>


<DIV>


<DIV><FONT size=2 


face=Verdana>致<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;礼！<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;</FONT></DIV>


<DIV>&nbsp;</DIV>


<DIV><FONT size=2 


face=Verdana>&nbsp;&nbsp;&nbsp;&nbsp;研发测试：陈永泉<BR>&nbsp;&nbsp;&nbsp;&nbsp;福建省海峡信息技术有限公司<BR>&nbsp;&nbsp;&nbsp;&nbsp;福州市北环西路108号 


P.C：350003<BR>&nbsp;&nbsp;&nbsp;&nbsp;Tel:（0591）87303715</FONT></DIV><FONT 


size=2 face=Verdana>


<DIV><BR>&nbsp;&nbsp;&nbsp;&nbsp;<A 


href="http://www.si.net.cn">http://www.si.net.cn</A><BR>&nbsp;&nbsp;&nbsp;&nbsp;<A 


href="http://www.heidun.net">http://www.heidun.net</A></DIV>


<DIV><BR>&nbsp;&nbsp;&nbsp;&nbsp;E-mail: <A 


href="mailto:chenyq@mail.si.net.cn">chenyq@mail.si.net.cn</A> 


</FONT></DIV></DIV></SPAN></FONT></DIV></FONT></BODY></HTML>