VPN Bintec zu Linux v.2

Aus xinux.net
Zur Navigation springen Zur Suche springen

Komponenten

  • 1 Bintec Router
  • 1 Linux PC

Zielbestimmung

VPN zwischen PC und Router aufbauen

Muss Kriterien

  • Netzwerke über Tunnel gegenseitig erreichbar

Kann Kriterien

  • PSK
  • Zertifikate
    • mit roadwarrior
    • ohne roadwarrior

Umgebung

Software

  • Bintec V.7.10 Rev. 1 (Beta 5)
  • Ubuntu 10.04.2 2.6.32-33-generic-pae

Hardware

  • PC mit 2 Netzwerk-Schnittstellen
  • Bintec Router

Funktionalität

  • Ipsec implementierung muss auf Linux-Seite vorhanden sein
apt-get install openswan

PSK

Linux-Seite

  • /etc/ipsec.conf
conn par-bin
      left=192.168.242.100
      leftid=192.168.242.100
      leftsubnet=172.23.242.0/24
      right=192.168.253.47
      rightid=192.168.253.47
      rightsubnet=172.23.47.0/24
      ike=3des-md5-modp1024
      esp=3des-md5-96
      authby=secret
      pfs=yes
      auto=start
  • /etc/ipsec.secrets
192.168.242.100 192.168.253.47 : PSK "geheim"

Bintec-Seite

  • Phase 1 Verschlüsselungsprofil
    • Erstellen von IKEv1 Profil mit:

Bintec-NEW.jpg

Bintec-PSK1.jpg

  • Phase 2 Verschlüsselungsprofil

Bintec-PSK2.jpg

  • VPN Tunnel einrichten

Bintec-PSK3.jpg

Zertifikate einrichten

Zertifizierungsstelle erstellen

makepki ca

Zertifikate erstellen

makepki cert paragon
makepki cert astaro

Zertifikate übernehmen

Auf der Zertifizierungsstelle 

cd /var/ssl/ca
tar -cvzf paragon.tgz ca.crt ca.crl paragon.key paragon.crt
scp paragon.tgz paragon:/root
cp astaro.p12 /export/share/tmp
Linux-Seite
tar -xvzf paragon.tgz
cp -v ca.crt /etc/ipsec.d/cacerts/xinux-ca.crt
cp -v ca.crl /etc/ipsec.d/crls/xinux-ca.crt
cp -v paragon.key /etc/ipsec.d/private/
cp -v paragon.crt /etc/ipsec.d/certs/
Bintec-Seite
  • P12 Zertifikat-paket vorbereiten
Wichtig
Ein Passwort für den P12 Container ist zwingend erforderlich, da sonst der Bintec Router ihn nicht uploaded
root@galactica:/var/ssl/ca# openssl pkcs12 -export -in bintec.crt -inkey bintec.key -certfile ca.crt -out bintec.p12
Enter Export Password:
Verifying - Enter Export Password:
cp bintec.p12 /export/share/tmp
  • Zertifikate importieren mit

Bintec-cert1.jpg

Bintec-cert2.jpg

x509 static-to-static

Linux-Seite

  • /etc/ipsec.conf
conn par-asg
     leftcert=paragon-cfg.crt
     left=192.168.242.100
     leftrsasigkey=%cert
     leftid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=paragon, E=technik@xinux.de"
     leftsubnet=172.23.242.0/24
     right=192.168.249.150
     rightid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=astaro, E=technik@xinux.de"
     rightrsasigkey=%cert
     rightsubnet=172.30.232.0/24
     ike=3des-md5-modp1024
     esp=3des-md5-96
     authby=rsasig
     pfs=yes
  • /etc/ipsec.secrets
192.168.242.100 : RSA paragon-cfg.key ""

Bintec-Seite

  • RSA-Signatur Profil für Phase 1 erstellen

Bintec-cert3.jpg

  • IPsec Peer mit Zertifikat-abfrage erstellen

Bintec-cert4.jpg

x509 dynamic-to-static

Linux-Seite (dynamisch)

  • /etc/ipsec.conf
conn par-asg
     leftcert=paragon-cfg.crt
     left=%defaultroute
     leftrsasigkey=%cert
     leftid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=paragon, E=technik@xinux.de"
     leftsubnet=172.23.242.0/24
     right=192.168.249.150
     rightid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=astaro, E=technik@xinux.de"
     rightrsasigkey=%cert
     rightsubnet=172.30.232.0/24
     ike=3des-md5-modp1024
     esp=3des-md5-96
     authby=rsasig
     pfs=yes
     auto=start

Bintec-Seite (statisch)

Links

Abgerufen von „https://xinux.net/index.php?title=VPN_Bintec_zu_Linux_v.2&oldid=3761