Benutzer-Werkzeuge

Webseiten-Werkzeuge


lager:oeff_netze:vpn_openswan

OpenSWAN im Detail

Die folgenden Informationen sind noch nicht erprobt worden. Sie sind im wesentlichen eine Übersetzung diese Howtos.

Befehl Bedeutung
 ipsec --confdir  
über den Parameter –confdir wird der Ordner für die Konfigurationsdateien angezeigt
Variablen Bedeutung Kommentar
Left (Farside) Die entfernte VPN-Seite von MYCOMPANY Beispiel: Fremder ISP
LEFT_IP_EXT Öffentliche statische IP-Adresse des entfernten Routers Benutzen Sie IP-Adressen und keine Namen Beispiel: 80.0.0.10/8
LEFT_SUBNET Privates Subnetz und Netzmaske der entfernten VPN-Seite Beispiel: 10.0.0.0/16
PSK_STRING „Password“ (Text) string) ist bekannt auf beiden VPN-Seiten Sollte gesichert z.B. per Telefon zwischen den Administratoren ausgetauscht werden
Right (nearside) Die eigene VPN-Seite von MYCOMPANY Lokale Administration s. /etc/ipsec.conf
RIGHT_IP_EXT Öffentliche statische IP-Adresse des eigenen Routers Beispiel: 80.0.0.20/8
RIGHT_IP_INT Interne IP-Adresse der eigenen VPN-Seite Diese Adresse muss im eigenen LAN liegen also im RIGHT_SUBNET. Beispiel: 20.0.0.0
RIGHT_IP_GTW Interne LAN IP Adresse der eigenen VPN-Seite Der VPN-Rechner wird einen eigenen IPSEC VPN Endpunkt installieren
RIGHT_SUBNET Privates Subnetz und Netzmaske der eigenen VPN-Seite Example: 192.168.2.0/24
RIGHT_CONN_NAME Einzigartiger Name der VPN-Verbindung Sollte ein kurzes Wort, dass einfach zu merken ist und hat keine Leerzeichen oder Spezialbuchstaben Beispiel: test-vpn1

Vorgehensweise bei einer automatisch aufgebauten VPN-Verbindung

HINWEIS: Die im folgenden verwendeten Variablen sind in der obigen Tabelle erklärt

1. Einfügen der PSK

In die Datei /etc/ipsec.secrets werden der PSK im folgenden Format eingefügt:

 LEFT_IP_EXT RIGHT_IP_GTW: PSK "PSK_STRING"
2. Grundsätzliche Konfiguration der ''/etc/ipsec.conf''

Im Abschnitt config setup muss der KLIPS Protokoll Stack (IPSEC engine) durch protostack=klips aktiviert werden.

3. Anlegen einer VPN-Verbingungskonfiguration

Beispiel-Abschnitt in der /etc/ipsec.conf für eine VPN-Verbindung, die angepasst werden MUSS!

conn RIGHT_CONN_NAME
    authby=secret
    ikelifetime=86400s
    pfs=no
    keylife=86400s
    left=LEFT_IP_EXT
    leftsubnet=LEFT_SUBNET
    leftid=LEFT_IP_EXT
    leftnexthop=%defaultroute
    right=RIGHT_IP_GTW
    rightsubnet=RIGHT_SUBNET
    rightid=RIGHT_IP_GTW
    rightnexthop=RIGHT_IP_INT
    auto=add
4. Restart des IPSEC und Starten der VPN-Verbindung (kann biszu 30s dauern)
 sudo /etc/init.d/ipsec restart
 sudo ipsec auto --up RIGHT_CONN_NAME
5. Überprüfen, ob die Verbindung erfolgreich aufgebaut wurde:
5.1 VPN-Status prüfen
 sudo ipsec auto --status

Es sollte eine der folgenden Textteile in den Meldungen zu sehen sein:

 STATE_QUICK_I2 
 STATE_QUICK_R2: 4500 STATE_QUICK_I2 (sent QI2, IPsec SA established)   
5.2 Interface prüfen

Die Interfaces können nun über ifconfig überprüft werden. Es sollte ein Interface ipsec0 aufgeführt werden, welches die IP-Adresse RIGHT_IP_GTW hat.

5.3 Routen prüfen

Über route lassen sich die neu eingetragenen Routen zum entfernten VPN-Gateway (LEFT_IP_EXT) sowie dem dahinterliegenden Netz (LEFT_SUBNET) überprüfen.

Folgender Eintrag sollte zu finden sein:

LEFT_SUBNET * LEFT_SUBNET_MASK U 0 0 0 ipsec0
6. Erreichbarkeit prüfen

Mittels eines ping von einem PC, der im RIGHT_SUBNET liegt sollte ein PC im LEFT_SUBNET (entferntes Netz) erreicht werden können. HINWEIS: Stimmen die Gateway-Einträge der jeweiligen PCs?

lager/oeff_netze/vpn_openswan.txt · Zuletzt geändert: 05.07.2018 10:03 (Externe Bearbeitung)