Strongswan IPSEC Linux SWANCTL PSK - Security und Firewall Labor
Zur Navigation springen
Zur Suche springen
Installation
- apt update
- apt install strongswan strongswan-swanctl libstrongswan-extra-plugins
Voraussetzungen
- Beide Systeme: Linux mit strongSwan und VICI-Unterstützung (swanctl)
- Linke Seite: LAN 172.16.101.0/24, VPN-IP 192.168.178.101
- Rechte Seite: LAN 172.16.102.0/24, VPN-IP 192.168.178.102
- Nur VICI (swanctl), keine ipsec.conf oder ipsec.secrets
Szenario
| Einstellung | links.lab.int | rechts.lab.int |
|---|---|---|
| IP Address | 192.168.178.101 | 192.168.178.102 |
| Internes Netz | 172.16.101.0/24 | 172.16.102.0/24 |
| Pre-Shared Key (PSK) | 123Start$ | |
| Phase 1 | AES256 – SHA256 – DH16 | |
| Phase 2 | AES256 – SHA256 – DH16 | |
VICI aktivieren
- vi /etc/strongswan.d/charon/vici.conf
Die Zeile muss enthalten:
load = yes
Damit Verbindungen beim Start geladen werden
- vi /etc/strongswan.conf
charon {
load_modular = yes
plugins {
include strongswan.d/charon/*.conf
}
start-scripts {
load-all = /usr/sbin/swanctl --load-all
}
}
include strongswan.d/*.conf
Konfiguration linke Seite (/etc/swanctl/swanctl.conf)
- vi /etc/swanctl/swanctl.conf
connections {
site-to-site {
local_addrs = 192.168.178.101
remote_addrs = 192.168.178.102
local {
auth = psk
id = 192.168.178.101
}
remote {
auth = psk
id = 192.168.178.102
}
children {
net {
local_ts = 172.16.101.0/24
remote_ts = 172.16.102.0/24
esp_proposals = aes256-sha256-modp4096
start_action = start
close_action = none
dpd_action = restart
mode = tunnel
}
}
version = 2
proposals = aes256-sha256-modp4096
}
}
secrets {
psk-left {
id = 192.168.178.101
secret = 123Start$
}
psk-right {
id = 192.168.178.102
secret = 123Start$
}
}
Konfiguration rechte Seite (/etc/swanctl/swanctl.conf)
- vi /etc/swanctl/swanctl.conf
connections {
site-to-site {
local_addrs = 192.168.178.102
remote_addrs = 192.168.178.101
local {
auth = psk
id = 192.168.178.102
}
remote {
auth = psk
id = 192.168.178.101
}
children {
net {
local_ts = 172.16.102.0/24
remote_ts = 172.16.101.0/24
esp_proposals = aes256-sha256-modp4096
start_action = start
close_action = none
dpd_action = restart
mode = tunnel
}
}
version = 2
proposals = aes256-sha256-modp4096
}
}
secrets {
psk-left {
id = 192.168.178.101
secret = 123Start$
}
psk-right {
id = 192.168.178.102
secret = 123Start$
}
}
Dienst starten
- systemctl enable strongswan-swanctl
- systemctl start strongswan-swanctl
- swanctl --load-all
Verbindung prüfen
- Listet alle geladenen Verbindungen aus swanctl.conf
- swanctl -L
- Zeigt aktive IKE- und CHILD-SAs, wenn der Tunnel aufgebaut ist
- swanctl -l
- Journalctl zur Fehlerdiagnose
- journalctl -u strongswan-swanctl
Fehlerbehandlung
Falls beim Initiieren der Verbindung folgende Meldung erscheint: not establishing CHILD_SA ... due to existing duplicate → Tunnel ist bereits aktiv. Prüfung mit:
- swanctl --list-sas
Neuaufbau erzwingen mit:
- swanctl --terminate --child net
- swanctl --initiate --child net