Openswan zu openswan
Zur Navigation springen
Zur Suche springen
Komponenten
- 1 PC
- 1 VM
Zielbestimmung
VPN zwischen PC und VM die Netze dahinter Tunneln
Muss Kriterien
- Netzwerke über Tunnel gegenseitig erreichbar
Kann Kriterien
- PSK
- Zertifikate
- ohne roadwarrior
- mit roadwarrior
Umgebung
Software
- Ubuntu 11.04 2.6.38-8-server
- Ubuntu 10.04.2 2.6.32-33-generic-pae
Hardware
- Router mit 2 Netzwerk-Schnittstellen
- ESXi Server (VMware)
Funktionalität
- IPsec Implementierung auf beiden Seiten installieren
apt-get install openswan
Openswan konfigurieren ( PSK )
Konfiguration ist auf beiden Rechnern gleich
Tunnel Parameter definieren
- Tunnelkonfiguration
/etc/ipsec.conf
conn par-tun authby=secret left=192.168.242.100 leftsubnet=172.23.242.0/24 right=192.168.249.121 rightsubnet=192.168.33.0/24 ike=3des-md5-modp1024 phase2alg=3des-md5;modp1024 pfs=yes auto=start
- PSK-secret Definition
# <linke ID> <rechte ID> : <Type> <Secret> 192.168.242.100 192.168.249.121 : PSK "natuerliches mineralwasser"
- Konfiguration laden und Tunnel starten
ipsec setup --restart
- Tunnel neustarten
ipsec auto --delete par-tun ipsec auto --add par-tun ipsec auto --up par-tun
- Secrets neu einlesen
ipsec auto -rereadsecrets
IPsec in Firewall eintragen
iptables -A FORWARD -i $LAN -o $WAN -m policy --pol ipsec --mode tunnel --dir out -j ACCEPT iptables -A FORWARD -i $WAN -o $LAN -m policy --pol ipsec --mode tunnel --dir in -j ACCEPT
Zertifikate einrichten
Zertifizierungsstelle erstellen
makepki ca
Zertifikate erstellen
makepki cert paragon makepki cert tunesien
Zertifikate übernehmen
Auf der Zertifizierungsstelle
tar -cvzf paragon.tgz ca.crt ca.crl paragon.key paragon.crt scp paragon.tgz paragon:/root tar -cvzf tunesien.tgz ca.crt ca.crl tunesien.key tunesien.crt scp tunesien.tgz tunesien:/root
Auf paragon
tar -xvzf paragon.tgz cp -v ca.crt /etc/ipsec.d/cacerts/xinux-ca.crt cp -v ca.crl /etc/ipsec.d/crls/xinux-ca.crl cp -v paragon.key /etc/ipsec.d/private/ cp -v paragon.crt /etc/ipsec.d/certs/
Auf tunesien
tar -xvzf tunesien.tgz cp -v ca.crt /etc/ipsec.d/cacerts/xinux-ca.crt cp -v ca.crl /etc/ipsec.d/crls/xinux-ca.crl cp -v tunesien.key /etc/ipsec.d/private/ cp -v tunesien.crt /etc/ipsec.d/certs/
Zertifikate ansehen
openssl x509 -noout -text -in filename.crt
Zertifikate (ohne roadwarrior)
Konfigurationsdateien anpassen
- Paragon
ipsec.conf
conn par-tun authby=rsasig leftcert=paragon.crt left=192.168.242.100 leftrsasigkey=%cert leftid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=paragon, E=hutze@xinux.de" leftsubnet=172.23.242.0/24 right=192.168.249.121 rightid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=tunesien, E=hutze@xinux.de" rightrsasigkey=%cert rightsubnet=192.168.33.0/24 ike=3des-md5-modp1024 esp=3des-md5-96 pfs=yes auto=start
ipsec.secret
192.168.242.100 : RSA paragon.key ""
- tunesien
ipsec.conf
conn par-tun authby=rsasig left=192.168.242.100 leftrsasigkey=%cert leftid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=paragon, E=hutze@xinux.de" leftsubnet=172.23.242.0/24 rightcert=tunesien.crt right=192.168.249.121 rightid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=tunesien, E=hutze@xinux.de" rightrsasigkey=%cert rightsubnet=192.168.33.0/24 ike=3des-md5-modp1024 esp=3des-md5-96 pfs=yes auto=start
ipsec.secret
192.168.249.121 : RSA tunesien.key ""
Zertifikate ( mit roadwarrior )
Server
ipsec.conf
conn par-tun leftcert=paragon.crt left=192.168.242.100 leftrsasigkey=%cert leftid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=paragon, E=hutze@xinux.de" leftsubnet=172.23.242.0/24 right=%any rightid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=tunesien, E=hutze@xinux.de" rightrsasigkey=%cert rightsubnet=192.168.33.0/24 ike=3des-md5-modp1536 esp=3des-md5-96 pfs=yes authby=rsasig auto=add
Roadwarrior
ipsec.conf
conn par-tun left=192.168.242.100 leftrsasigkey=%cert leftid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=paragon, E=hutze@xinux.de" leftsubnet=172.23.242.0/24 right=%defaultroute rightcert=tunesien.crt rightid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=tunesien, E=hutze@xinux.de" rightsubnet=192.168.33.0/24 ike=3des-md5-modp1024 esp=3des-md5-96 pfs=yes authby=rsasig auto=start