Strongswan IPSEC Linux SWANCTL PSK - Security und Firewall Labor

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Installation

  • apt update
  • apt install strongswan strongswan-swanctl

Voraussetzungen

  • Beide Systeme: Linux mit strongSwan und VICI-Unterstützung (swanctl)
  • Nur VICI (swanctl), keine ipsec.conf oder ipsec.secrets
  • XX eigene Seite, gegenüberliegende Seite YY

Szenario

Einstellung fw.it2XX.int fw.it2YY.int
IP Address 192.168.hs.2XX 192.168.hs.2YY
Internes Netz 172.26.2XX.0/24, 10.2XX.1.0/24 172.26.2YY.0/24, 10.2YY.1.0/24
Pre-Shared Key (PSK) 123Start$
Phase 1 AES256 – SHA256 – DH16
Phase 2 AES256 – SHA256 – DH16

Bekannte Einschränkung unter Debian 13

strongSwan 6.0.1 (Debian 13) gibt beim Aufruf von swanctl zahlreiche Plugin-Warnmeldungen auf stderr aus, z. B.: 

plugin 'aes': failed to load - aes_plugin_create not found and no plugin file available

Dies ist ein bekannter Upstream-Bug: swanctl 6.0.1 versucht alle Build-Plugins zu laden, obwohl diese in strongSwan 6 durch OpenSSL ersetzt wurden und als eigenständige .so-Dateien nicht mehr existieren. Der Bug wurde in strongSwan 6.0.2 behoben. Die Funktion des VPN-Tunnels ist nicht beeinträchtigt.

Zur Unterdrückung der Warnmeldungen wird ein permanenter Alias gesetzt:

  • vim /etc/bash.bashrc

Folgende Zeile am Ende ergänzen: 

alias swanctl='swanctl 2>/dev/null'

Anschließend neu einlesen:

  • source /etc/bash.bashrc

Konfiguration

  • Diese Datei ist auf beiden Seiten identisch aufgebaut – nur die Adressen unterscheiden sich.
  • vim /etc/swanctl/conf.d/it2XX-it2YY.conf
connections {
  site-to-site {
    local_addrs  = 192.168.hs.2XX
    remote_addrs = 192.168.hs.2YY
    mobike = no
    local {
      auth = psk
      id = 192.168.hs.2XX
    }
    remote {
      auth = psk
      id = 192.168.hs.2YY
    }
    children {
      net {
        local_ts  = 172.26.2XX.0/24,10.2XX.1.0/24
        remote_ts = 172.26.2YY.0/24,10.2YY.1.0/24
        esp_proposals = aes256-sha256-modp4096
        start_action = start
        close_action = none
        dpd_action = restart
        mode = tunnel
      }
    }
    version = 2
    proposals = aes256-sha256-modp4096
  }
}
secrets {
  ike-1 {
    id-1 = 192.168.hs.2XX
    id-2 = 192.168.hs.2YY
    secret = "123Start$"
  }
}

Dienst starten

  • systemctl enable strongswan
  • systemctl start strongswan
  • swanctl --load-all

Verbindung prüfen

Listet alle geladenen Verbindungen aus swanctl.conf
  • swanctl -L
Zeigt aktive IKE- und CHILD-SAs, wenn der Tunnel aufgebaut ist
  • swanctl -l
Journalctl zur Fehlerdiagnose
  • journalctl -u strongswan

Fehlerbehandlung

Falls beim Initiieren der Verbindung folgende Meldung erscheint: not establishing CHILD_SA ... due to existing duplicate → Tunnel ist bereits aktiv. Prüfung mit:

  • swanctl --list-sas

Neuaufbau erzwingen mit:

  • swanctl --terminate --child net
  • swanctl --initiate --child net

Verbindung auf Kernel-Ebene prüfen

Aktive XFRM Security Associations anzeigen
  • ip xfrm state
Aktive XFRM Policies anzeigen
  • ip xfrm policy
ESP-Pakete auf dem physischen Interface sehen (verschlüsselt)
  • tcpdump -i eth0 -n esp
Entschlüsselten Traffic prüfen (nach der Policy)
  • tcpdump -i eth0 -n host 172.26.2XX.1

Tabula Rasa

  • apt purge strongswan strongswan-swanctl libstrongswan libstrongswan-standard-plugins
  • rm -rf /etc/strongswan* /etc/swanctl
Abgerufen von „http://wiki.ixheim.de/index.php?title=Strongswan_IPSEC_Linux_SWANCTL_PSK_-_Security_und_Firewall_Labor&oldid=69934