OpenSWAN im Detail
Die folgenden Informationen sind noch nicht erprobt worden. Sie sind im wesentlichen eine Übersetzung diese Howtos.
Befehl | Bedeutung |
---|---|
ipsec --confdir | über den Parameter –confdir wird der Ordner für die Konfigurationsdateien angezeigt |
Variablen | Bedeutung | Kommentar |
---|---|---|
Left (Farside) | Die entfernte VPN-Seite von MYCOMPANY | Beispiel: Fremder ISP |
LEFT_IP_EXT | Öffentliche statische IP-Adresse des entfernten Routers | Benutzen Sie IP-Adressen und keine Namen Beispiel: 80.0.0.10/8 |
LEFT_SUBNET | Privates Subnetz und Netzmaske der entfernten VPN-Seite | Beispiel: 10.0.0.0/16 |
PSK_STRING | „Password“ (Text) string) ist bekannt auf beiden VPN-Seiten | Sollte gesichert z.B. per Telefon zwischen den Administratoren ausgetauscht werden |
Right (nearside) | Die eigene VPN-Seite von MYCOMPANY | Lokale Administration s. /etc/ipsec.conf |
RIGHT_IP_EXT | Öffentliche statische IP-Adresse des eigenen Routers | Beispiel: 80.0.0.20/8 |
RIGHT_IP_INT | Interne IP-Adresse der eigenen VPN-Seite | Diese Adresse muss im eigenen LAN liegen also im RIGHT_SUBNET. Beispiel: 20.0.0.0 |
RIGHT_IP_GTW | Interne LAN IP Adresse der eigenen VPN-Seite | Der VPN-Rechner wird einen eigenen IPSEC VPN Endpunkt installieren |
RIGHT_SUBNET | Privates Subnetz und Netzmaske der eigenen VPN-Seite | Example: 192.168.2.0/24 |
RIGHT_CONN_NAME | Einzigartiger Name der VPN-Verbindung | Sollte ein kurzes Wort, dass einfach zu merken ist und hat keine Leerzeichen oder Spezialbuchstaben Beispiel: test-vpn1 |
Vorgehensweise bei einer automatisch aufgebauten VPN-Verbindung
HINWEIS: Die im folgenden verwendeten Variablen sind in der obigen Tabelle erklärt
1. Einfügen der PSK
In die Datei /etc/ipsec.secrets
werden der PSK im folgenden Format eingefügt:
LEFT_IP_EXT RIGHT_IP_GTW: PSK "PSK_STRING"
2. Grundsätzliche Konfiguration der ''/etc/ipsec.conf''
Im Abschnitt config setup
muss der KLIPS Protokoll Stack (IPSEC engine) durch protostack=klips
aktiviert werden.
3. Anlegen einer VPN-Verbingungskonfiguration
Beispiel-Abschnitt in der /etc/ipsec.conf
für eine VPN-Verbindung, die angepasst werden MUSS!
conn RIGHT_CONN_NAME authby=secret ikelifetime=86400s pfs=no keylife=86400s left=LEFT_IP_EXT leftsubnet=LEFT_SUBNET leftid=LEFT_IP_EXT leftnexthop=%defaultroute right=RIGHT_IP_GTW rightsubnet=RIGHT_SUBNET rightid=RIGHT_IP_GTW rightnexthop=RIGHT_IP_INT auto=add
4. Restart des IPSEC und Starten der VPN-Verbindung (kann biszu 30s dauern)
sudo /etc/init.d/ipsec restart sudo ipsec auto --up RIGHT_CONN_NAME
5. Überprüfen, ob die Verbindung erfolgreich aufgebaut wurde:
5.1 VPN-Status prüfen
sudo ipsec auto --status
Es sollte eine der folgenden Textteile in den Meldungen zu sehen sein:
STATE_QUICK_I2 STATE_QUICK_R2: 4500 STATE_QUICK_I2 (sent QI2, IPsec SA established)
5.2 Interface prüfen
Die Interfaces können nun über ifconfig
überprüft werden. Es sollte ein Interface ipsec0
aufgeführt werden, welches die IP-Adresse RIGHT_IP_GTW hat.
5.3 Routen prüfen
Über route
lassen sich die neu eingetragenen Routen zum entfernten VPN-Gateway (LEFT_IP_EXT) sowie dem dahinterliegenden Netz (LEFT_SUBNET) überprüfen.
Folgender Eintrag sollte zu finden sein:
LEFT_SUBNET * LEFT_SUBNET_MASK U 0 0 0 ipsec0
6. Erreichbarkeit prüfen
Mittels eines ping
von einem PC, der im RIGHT_SUBNET liegt sollte ein PC im LEFT_SUBNET (entferntes Netz) erreicht werden können.
HINWEIS: Stimmen die Gateway-Einträge der jeweiligen PCs?