https://wiki.ixheim.de/index.php?action=history&feed=atom&title=VPN_Linux_zu_Linux
VPN Linux zu Linux - Versionsgeschichte
2026-06-29T10:15:52Z
Versionsgeschichte dieser Seite in Xinux Wiki
MediaWiki 1.35.1
https://wiki.ixheim.de/index.php?title=VPN_Linux_zu_Linux&diff=4678&oldid=prev
Thomas: Die Seite wurde neu angelegt: „==Komponenten== *1 PC *1 VM ==Zielbestimmung== VPN zwischen PC und VM die Netze dahinter Tunneln ===Muss Kriterien=== *Netzwerke über Tunnel gegenseitig e…“
2014-08-05T14:00:18Z
<p>Die Seite wurde neu angelegt: „==Komponenten== *1 PC *1 VM ==Zielbestimmung== VPN zwischen PC und VM die Netze dahinter Tunneln ===Muss Kriterien=== *Netzwerke über Tunnel gegenseitig e…“</p>
<p><b>Neue Seite</b></p><div>==Komponenten==<br />
*1 PC<br />
*1 VM<br />
<br />
==Zielbestimmung==<br />
<br />
VPN zwischen PC und VM die Netze dahinter Tunneln<br />
<br />
===Muss Kriterien===<br />
<br />
*Netzwerke über Tunnel gegenseitig erreichbar<br />
<br />
===Kann Kriterien===<br />
*PSK<br />
*Zertifikate<br />
**ohne roadwarrior<br />
**mit roadwarrior<br />
<br />
==Umgebung==<br />
===Software===<br />
<br />
*Ubuntu 11.04 2.6.38-8-server<br />
*Ubuntu 10.04.2 2.6.32-33-generic-pae<br />
<br />
===Hardware===<br />
*Router mit 2 Netzwerk-Schnittstellen<br />
*ESXi Server (VMware)<br />
<br />
==Funktionalität==<br />
*IPsec Implementierung auf beiden Seiten installieren<br />
apt-get install openswan<br />
===Openswan konfigurieren ( PSK )===<br />
Konfiguration ist auf beiden Rechnern gleich<br />
====Tunnel Parameter definieren====<br />
;Tunnelkonfiguration<br />
/etc/ipsec.conf<br />
conn par-tun<br />
authby=secret<br />
left=192.168.242.100<br />
leftid=192.168.242.100<br />
leftsubnet=172.23.242.0/24<br />
right=192.168.249.121<br />
rightid=192.168.249.121<br />
rightsubnet=192.168.33.0/24<br />
ike=3des-md5-modp1024<br />
esp=3des-md5-96<br />
pfs=yes<br />
auto=start<br />
<br />
<br />
;PSK-secret Definition<br />
<br />
# <linke ID> <rechte ID> : <Type> <Secret><br />
192.168.242.100 192.168.249.121 : PSK "natuerliches mineralwasser"<br />
<br />
;Konfiguration laden und Tunnel starten<br />
ipsec setup --restart<br />
<br />
;Tunnel neustarten<br />
ipsec auto --delete par-tun<br />
ipsec auto --add par-tun<br />
ipsec auto --up par-tun<br />
<br />
====IPsec in Firewall eintragen====<br />
<br />
iptables -A FORWARD -i $LAN -o $WAN -m policy --pol ipsec --mode tunnel --dir out -j ACCEPT<br />
iptables -A FORWARD -i $WAN -o $LAN -m policy --pol ipsec --mode tunnel --dir in -j ACCEPT<br />
<br />
<br />
===Zertifikate einrichten===<br />
====Zertifizierungsstelle erstellen====<br />
<br />
makepki ca<br />
<br />
====Zertifikate erstellen====<br />
<br />
makepki cert paragon<br />
makepki cert tunesien<br />
<br />
====Zertifikate übernehmen====<br />
Auf der Zertifizierungsstelle<br />
<br />
tar -cvzf paragon.tgz ca.crt ca.crl paragon.key paragon.crt<br />
scp paragon.tgz paragon:/root<br />
tar -cvzf tunesien.tgz ca.crt ca.crl tunesien.key tunesien.crt<br />
scp tunesien.tgz tunesien:/root<br />
<br />
Auf paragon<br />
<br />
tar -xvzf paragon.tgz<br />
cp -v ca.crt /etc/ipsec.d/cacerts/xinux-ca.crt<br />
cp -v ca.crl /etc/ipsec.d/crls/xinux-ca.crt<br />
cp -v paragon.key /etc/ipsec.d/private/<br />
cp -v paragon.crt /etc/ipsec.d/certs/<br />
Auf tunesien<br />
tar -xvzf tunesien.tgz<br />
cp -v ca.crt /etc/ipsec.d/cacerts/xinux-ca.crt<br />
cp -v ca.crl /etc/ipsec.d/crls/xinux-ca.crt<br />
cp -v tunesien.key /etc/ipsec.d/private/<br />
cp -v tunesien.crt /etc/ipsec.d/certs/<br />
<br />
====Zertifikate ansehen====<br />
openssl x509 -in filename.crt -noout -text<br />
<br />
===Zertifikate (ohne roadwarrior)===<br />
<br />
====Konfigurationsdateien anpassen====<br />
<br />
;Paragon<br />
ipsec.conf<br />
conn par-tun<br />
authby=rsasig<br />
leftcert=paragon.crt<br />
left=192.168.242.100<br />
leftrsasigkey=%cert<br />
leftid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=paragon, E=hutze@xinux.de"<br />
leftsubnet=172.23.242.0/24<br />
right=192.168.249.121<br />
rightid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=tunesien, E=hutze@xinux.de"<br />
rightrsasigkey=%cert<br />
rightsubnet=192.168.33.0/24<br />
ike=3des-md5-modp1024<br />
esp=3des-md5-96<br />
pfs=yes<br />
auto=start<br />
<br />
ipsec.secret<br />
192.168.242.100 : RSA paragon.key ""<br />
<br />
;tunesien<br />
ipsec.conf<br />
conn par-tun<br />
authby=rsasig<br />
left=192.168.242.100<br />
leftrsasigkey=%cert<br />
leftid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=paragon, E=hutze@xinux.de"<br />
leftsubnet=172.23.242.0/24<br />
rightcert=tunesien.crt<br />
right=192.168.249.121<br />
rightid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=tunesien, E=hutze@xinux.de"<br />
rightrsasigkey=%cert<br />
rightsubnet=192.168.33.0/24<br />
ike=3des-md5-modp1024<br />
esp=3des-md5-96<br />
pfs=yes<br />
auto=start<br />
ipsec.secret<br />
192.168.249.121 : RSA tunesien.key ""<br />
<br />
===Zertifikate ( mit raodwarrior )===<br />
<br />
<br />
====Server====<br />
ipsec.conf<br />
conn par-tun<br />
leftcert=paragon.crt<br />
left=192.168.242.100<br />
leftrsasigkey=%cert<br />
leftid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=paragon, E=hutze@xinux.de"<br />
leftsubnet=172.23.242.0/24<br />
right=%any<br />
rightid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=tunesien, E=hutze@xinux.de"<br />
rightrsasigkey=%cert<br />
rightsubnet=192.168.33.0/24<br />
ike=3des-md5-modp1536<br />
esp=3des-md5-96<br />
pfs=yes<br />
authby=rsasig<br />
auto=add<br />
<br />
====Roadwarrior====<br />
ipsec.conf<br />
<br />
conn par-tun<br />
left=192.168.242.100<br />
leftrsasigkey=%cert<br />
leftid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=paragon, E=hutze@xinux.de"<br />
leftsubnet=172.23.242.0/24<br />
right=%defaultroute<br />
rightcert=tunesien.crt<br />
rightid="C=de, ST=rlp, L=zweibruecken, OU=edv, CN=tunesien, E=hutze@xinux.de"<br />
rightsubnet=192.168.33.0/24<br />
ike=3des-md5-modp1024<br />
esp=3des-md5-96<br />
pfs=yes<br />
authby=rsasig<br />
auto=start</div>
Thomas