Strongswan zu strongswan cert ikev2 site to site

Aus xinux.net
Zur Navigation springen Zur Suche springen

Grundlegendes

  • Wir sehen die fw2 als dynamische IP and die wechseln kann.

fw1

Cert Lokalisierung

Die Dateien müssen genau an diesen Stellen liegen
  • find /etc/ipsec.d/ -type f
/etc/ipsec.d/private/fw1.key
/etc/ipsec.d/certs/fw1.crt
/etc/ipsec.d/cacerts/ca.crt

/etc/ipsec.conf

  • leftcert ist das eigene Zertifikat
  • right=0.0.0.0 weil die IP des Gegenübers dynamisch ist. Alternativ würde auch %any gehen.
  • rightid ist der Distinguish Name des Gegenübers
  • auto=add Damit nicht verbunden wird, das die IP unbekannt ist.
conn s2s-cert
     authby=rsasig
     keyexchange=ikev2
     left=10.82.227.12
     leftcert="fw1.crt"
     leftsubnet=10.82.243.0/24
     right=0.0.0.0
     rightid="CN=fw2"
     rightsubnet=10.82.244.0/24
     ike=aes256-sha256-modp4096!
     esp=aes256-sha256-modp4096!
     auto=add

/etc/ipsec.secrets

10.82.227.12  : RSA fw1.key ""

fw2

Cert Lokalisierung

Die Dateien müssen genau an diesen Stellen liegen
  • find /etc/ipsec.d/ -type f
/etc/ipsec.d/private/fw2.key
/etc/ipsec.d/certs/fw2.crt
/etc/ipsec.d/cacerts/ca.crt

/etc/ipsec.conf

  • leftcert ist das eigene Zertifikat
  • left kann weg gelassen werden da die IP dynamisch ist.
  • rightid ist der Distinguish Name des Gegenübers
  • right ist die IP des Gegenübers
conn s2s-cert
     authby=rsasig
     keyexchange=ikev2
     leftcert="fw2.crt"
     leftsubnet=10.82.244.0/24
     right=10.82.227.12
     rightid="CN=fw1"
     rightsubnet=10.82.243.0/24
     ike=aes256-sha256-modp4096!
     esp=aes256-sha256-modp4096!
     auto=start

/etc/ipsec.secrets

10.82.227.22  : RSA fw2.key ""
Abgerufen von „https://xinux.net/index.php?title=Strongswan_zu_strongswan_cert_ikev2_site_to_site&oldid=48283