https://wiki.ixheim.de/index.php?action=history&feed=atom&title=VPN_Bintec_zu_Linux_v.2
VPN Bintec zu Linux v.2 - Versionsgeschichte
2026-06-30T01:53:10Z
Versionsgeschichte dieser Seite in Xinux Wiki
MediaWiki 1.35.1
https://wiki.ixheim.de/index.php?title=VPN_Bintec_zu_Linux_v.2&diff=3761&oldid=prev
Thomas: Die Seite wurde neu angelegt: „==Komponenten== *1 Bintec Router *1 Linux PC ==Zielbestimmung== VPN zwischen PC und Router aufbauen ===Muss Kriterien=== *Netzwerke über Tunnel gegenseitig …“
2013-11-25T13:18:48Z
<p>Die Seite wurde neu angelegt: „==Komponenten== *1 Bintec Router *1 Linux PC ==Zielbestimmung== VPN zwischen PC und Router aufbauen ===Muss Kriterien=== *Netzwerke über Tunnel gegenseitig …“</p>
<p><b>Neue Seite</b></p><div>==Komponenten==<br />
<br />
*1 Bintec Router<br />
*1 Linux PC<br />
<br />
==Zielbestimmung==<br />
<br />
VPN zwischen PC und Router aufbauen<br />
<br />
===Muss Kriterien===<br />
<br />
*Netzwerke über Tunnel gegenseitig erreichbar<br />
<br />
===Kann Kriterien===<br />
<br />
*PSK<br />
*Zertifikate<br />
**mit roadwarrior<br />
**ohne roadwarrior<br />
<br />
==Umgebung==<br />
===Software===<br />
<br />
*Bintec V.7.10 Rev. 1 (Beta 5)<br />
*Ubuntu 10.04.2 2.6.32-33-generic-pae<br />
<br />
===Hardware===<br />
*PC mit 2 Netzwerk-Schnittstellen<br />
*Bintec Router<br />
<br />
==Funktionalität==<br />
*Ipsec implementierung muss auf Linux-Seite vorhanden sein<br />
apt-get install openswan<br />
<br />
===PSK===<br />
====Linux-Seite====<br />
*/etc/ipsec.conf<br />
conn par-bin<br />
left=192.168.242.100<br />
leftid=192.168.242.100<br />
leftsubnet=172.23.242.0/24<br />
right=192.168.253.47<br />
rightid=192.168.253.47<br />
rightsubnet=172.23.47.0/24<br />
ike=3des-md5-modp1024<br />
esp=3des-md5-96<br />
authby=secret<br />
pfs=yes<br />
auto=start<br />
<br />
*/etc/ipsec.secrets<br />
192.168.242.100 192.168.253.47 : PSK "geheim"<br />
<br />
====Bintec-Seite====<br />
<br />
*Phase 1 Verschlüsselungsprofil<br />
**Erstellen von IKEv1 Profil mit:<br />
[[file:bintec-NEW.jpg|150px]]<br />
<br />
[[file:bintec-PSK1.jpg|750px]]<br />
<br />
*Phase 2 Verschlüsselungsprofil<br />
[[file:bintec-PSK2.jpg|750px]]<br />
<br />
*VPN Tunnel einrichten<br />
<br />
[[file:bintec-PSK3.jpg|750px]]<br />
<br />
===Zertifikate einrichten===<br />
====Zertifizierungsstelle erstellen====<br />
<br />
makepki ca<br />
<br />
====Zertifikate erstellen====<br />
<br />
makepki cert paragon<br />
makepki cert astaro<br />
<br />
====Zertifikate übernehmen====<br />
Auf der Zertifizierungsstelle<br />
cd /var/ssl/ca<br />
tar -cvzf paragon.tgz ca.crt ca.crl paragon.key paragon.crt<br />
scp paragon.tgz paragon:/root<br />
cp astaro.p12 /export/share/tmp<br />
=====Linux-Seite=====<br />
<br />
tar -xvzf paragon.tgz<br />
cp -v ca.crt /etc/ipsec.d/cacerts/xinux-ca.crt<br />
cp -v ca.crl /etc/ipsec.d/crls/xinux-ca.crt<br />
cp -v paragon.key /etc/ipsec.d/private/<br />
cp -v paragon.crt /etc/ipsec.d/certs/<br />
<br />
=====Bintec-Seite=====<br />
*P12 Zertifikat-paket vorbereiten<br />
;Wichtig<br />
:Ein Passwort für den P12 Container ist zwingend erforderlich, da sonst der Bintec Router ihn nicht uploaded<br />
root@galactica:/var/ssl/ca# openssl pkcs12 -export -in bintec.crt -inkey bintec.key -certfile ca.crt -out bintec.p12<br />
Enter Export Password:<br />
Verifying - Enter Export Password:<br />
cp bintec.p12 /export/share/tmp<br />
*Zertifikate importieren mit<br />
[[file:bintec-cert1.jpg|150px]]<br />
<br />
[[file:bintec-cert2.jpg|750px]]<br />
<br />
===x509 static-to-static===<br />
<br />
====Linux-Seite====<br />
*/etc/ipsec.conf<br />
conn par-asg<br />
leftcert=paragon-cfg.crt<br />
left=192.168.242.100<br />
leftrsasigkey=%cert<br />
leftid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=paragon, E=technik@xinux.de"<br />
leftsubnet=172.23.242.0/24<br />
right=192.168.249.150<br />
rightid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=astaro, E=technik@xinux.de"<br />
rightrsasigkey=%cert<br />
rightsubnet=172.30.232.0/24<br />
ike=3des-md5-modp1024<br />
esp=3des-md5-96<br />
authby=rsasig<br />
pfs=yes<br />
<br />
*/etc/ipsec.secrets<br />
192.168.242.100 : RSA paragon-cfg.key ""<br />
<br />
====Bintec-Seite====<br />
<br />
*RSA-Signatur Profil für Phase 1 erstellen<br />
[[file:bintec-cert3.jpg|750px]]<br />
<br />
*IPsec Peer mit Zertifikat-abfrage erstellen<br />
<br />
[[file:bintec-cert4.jpg|750px]]<br />
<br />
===x509 dynamic-to-static===<br />
<br />
====Linux-Seite (dynamisch)====<br />
<br />
*/etc/ipsec.conf<br />
conn par-asg<br />
leftcert=paragon-cfg.crt<br />
left=%defaultroute<br />
leftrsasigkey=%cert<br />
leftid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=paragon, E=technik@xinux.de"<br />
leftsubnet=172.23.242.0/24<br />
right=192.168.249.150<br />
rightid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=astaro, E=technik@xinux.de"<br />
rightrsasigkey=%cert<br />
rightsubnet=172.30.232.0/24<br />
ike=3des-md5-modp1024<br />
esp=3des-md5-96<br />
authby=rsasig<br />
pfs=yes<br />
auto=start<br />
<br />
====Bintec-Seite (statisch)====<br />
= Links =<br />
* http://www.funkwerk-ec.de/portal/downloadcenter/dateien/workshops/workshops_v70_de/ws_sec_html_de_HTML/ws_ipsecdyn_konfig_r1200.html</div>
Thomas