VPN Bintec zu Linux v.2
Zur Navigation springen
Zur Suche springen
Komponenten
- 1 Bintec Router
- 1 Linux PC
Zielbestimmung
VPN zwischen PC und Router aufbauen
Muss Kriterien
- Netzwerke über Tunnel gegenseitig erreichbar
Kann Kriterien
- PSK
- Zertifikate
- mit roadwarrior
- ohne roadwarrior
Umgebung
Software
- Bintec V.7.10 Rev. 1 (Beta 5)
- Ubuntu 10.04.2 2.6.32-33-generic-pae
Hardware
- PC mit 2 Netzwerk-Schnittstellen
- Bintec Router
Funktionalität
- Ipsec implementierung muss auf Linux-Seite vorhanden sein
apt-get install openswan
PSK
Linux-Seite
- /etc/ipsec.conf
conn par-bin left=192.168.242.100 leftid=192.168.242.100 leftsubnet=172.23.242.0/24 right=192.168.253.47 rightid=192.168.253.47 rightsubnet=172.23.47.0/24 ike=3des-md5-modp1024 esp=3des-md5-96 authby=secret pfs=yes auto=start
- /etc/ipsec.secrets
192.168.242.100 192.168.253.47 : PSK "geheim"
Bintec-Seite
- Phase 1 Verschlüsselungsprofil
- Erstellen von IKEv1 Profil mit:
- Phase 2 Verschlüsselungsprofil
- VPN Tunnel einrichten
Zertifikate einrichten
Zertifizierungsstelle erstellen
makepki ca
Zertifikate erstellen
makepki cert paragon makepki cert astaro
Zertifikate übernehmen
Auf der Zertifizierungsstelle
cd /var/ssl/ca tar -cvzf paragon.tgz ca.crt ca.crl paragon.key paragon.crt scp paragon.tgz paragon:/root cp astaro.p12 /export/share/tmp
Linux-Seite
tar -xvzf paragon.tgz cp -v ca.crt /etc/ipsec.d/cacerts/xinux-ca.crt cp -v ca.crl /etc/ipsec.d/crls/xinux-ca.crt cp -v paragon.key /etc/ipsec.d/private/ cp -v paragon.crt /etc/ipsec.d/certs/
Bintec-Seite
- P12 Zertifikat-paket vorbereiten
- Wichtig
- Ein Passwort für den P12 Container ist zwingend erforderlich, da sonst der Bintec Router ihn nicht uploaded
root@galactica:/var/ssl/ca# openssl pkcs12 -export -in bintec.crt -inkey bintec.key -certfile ca.crt -out bintec.p12 Enter Export Password: Verifying - Enter Export Password: cp bintec.p12 /export/share/tmp
- Zertifikate importieren mit
x509 static-to-static
Linux-Seite
- /etc/ipsec.conf
conn par-asg leftcert=paragon-cfg.crt left=192.168.242.100 leftrsasigkey=%cert leftid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=paragon, E=technik@xinux.de" leftsubnet=172.23.242.0/24 right=192.168.249.150 rightid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=astaro, E=technik@xinux.de" rightrsasigkey=%cert rightsubnet=172.30.232.0/24 ike=3des-md5-modp1024 esp=3des-md5-96 authby=rsasig pfs=yes
- /etc/ipsec.secrets
192.168.242.100 : RSA paragon-cfg.key ""
Bintec-Seite
- RSA-Signatur Profil für Phase 1 erstellen
- IPsec Peer mit Zertifikat-abfrage erstellen
x509 dynamic-to-static
Linux-Seite (dynamisch)
- /etc/ipsec.conf
conn par-asg leftcert=paragon-cfg.crt left=%defaultroute leftrsasigkey=%cert leftid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=paragon, E=technik@xinux.de" leftsubnet=172.23.242.0/24 right=192.168.249.150 rightid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=astaro, E=technik@xinux.de" rightrsasigkey=%cert rightsubnet=172.30.232.0/24 ike=3des-md5-modp1024 esp=3des-md5-96 authby=rsasig pfs=yes auto=start