Thomas: Die Seite wurde neu angelegt: „ =Interface Konfiguration= '''vi /etc/sysconfig/network-scripts/ifcfg-eth0''' ;DEVICE="''eth0''" :Gibt den Namen der Schnittstelle an ;HWADDR="08:00…“

2015-03-16T10:45:14Z

Die Seite wurde neu angelegt: „ =Interface Konfiguration= '''vi /etc/sysconfig/network-scripts/ifcfg-eth0''' ;DEVICE="''eth0''" :Gibt den Namen der Schnittstelle an ;HWADDR="<nowiki>08:00…“

Neue Seite

=Interface Konfiguration=
'''vi /etc/sysconfig/network-scripts/ifcfg-eth0'''

;DEVICE="''eth0''"
:Gibt den Namen der Schnittstelle an

;HWADDR="<nowiki>08:00:27:35:E9:2B</nowiki>"
:Gibt die MAC-Adresse an

;ONBOOT="yes"
:Gibt an ob die Schnittstelle beim booten gestartet werden soll

;IPADDR="192.168.0.100"
:Gibt die IP-Adresse der Schnittstelle an

;NETMASK="255.255.255.0"
:Gibt die Netzmaske der Schnittstelle an

;GATEWAY="192.168.0.1"
:Gibt den default Router an
=Hostname ändern=
*http://www.rackspace.com/knowledge_center/article/centos-hostname-change
*hostnamectl set-hostname saul.xinux.org
hostnamectl set-hostname www.der-linux-admin.de

hostnamectl set-hostname www.der-linux-admin.de
hostnamectl set-hostname www.der-linux-admin.de
==ssh enablen==
chkconfig sshd on

=openswan=

==Installation==

yum install openswan nss-tools ipsec-tools
mkdir /root/certs
echo "1" > /proc/sys/net/ipv4/ip_forward

== Zertifikaterstellung ==

Auf ezri liegt das '''makepki'''-Tool.

makepki cert $HOSTNAME
tar cfvz $HOSTNAME.tgz $HOSTNAME.* ca.crt ca.crl
scp $HOSTNAME.tgz $HOSTNAME:/root/certs

Auf dem Centossystem:

cd /root/certs
tar xfv $HOSTNAME.tgz

==nss Zertifikate in Datenbank pflegen==

*Standard DB-TYPE wird hiermit angegeben:
export NSS_DEFAULT_DB_TYPE="sql"

*Neue Zertifikat-Datenbank ('''LEERE PASSWÖRTER BENUTZEN!''')
certutil -N -d /etc/ipsec.d

*P12 import
pk12util -i certkey.p12 -d /etc/ipsec.d

*Name von dem Zertifikat in der nss-Datenbank anzeigen
certutil -L -d /etc/ipsec.d

: Beispiel:
<pre>
[root@centos64 ~]# export NSS_DEFAULT_DB_TYPE="sql"
[root@centos64 ~]# certutil -L -d /etc/ipsec.d

Certificate Nickname Trust Attributes
SSL,S/MIME,JAR/XPI

'''centos64.xinux''' (##BEISPIEL-ZERTIFIKATSNAME) u,u,u
xinux-ca ,,
</pre>

*Neue Datei erstellen mit dem Inhalt:
vi /etc/ipsec.d/nss.certs

Inhalt:
@fqdn: RSA "name of certificate in nss db" ""

Beispiel:
@centos64.xinux: RSA "centos64.xinux" ""

==ipsec.conf==

vi /etc/ipsec.conf
<pre>
version 2.0 # conforms to second version of ipsec.conf specification
config setup
protostack=netkey
nat_traversal=yes
virtual_private=
oe=off

conn $CENTOSHOSTNAME-$GEGENSEITEHOSTNAME
authby=rsasig
left=$IP-GEGENSEITE
leftrsasigkey=%cert
leftid="C=de, ST=pfalz, L=zw, OU=edv, CN=$CN-GEGENSEITE, E=technik@xinux.de" (CN gibt man bei makepki an...)
leftsubnet=$SUBNET-GEGENSEITE
right=$IP-CENTOS
rightcert=centos64.xinux ('''Das Zertifikat aus der NSS-Bank muss benutzt werden!''')
rightid="C=de, ST=pfalz, L=zw, OU=edv, CN=$CN-CENTOS, E=technik@xinux.de" (CN gibt man bei makepki an...)
rightrsasigkey=%cert
rightsubnet=$SUBNET-CENTOS
ike=3des-md5-modp1024
esp=3des-md5-96
pfs=yes
auto=start
</pre>

===ACHTUNG!===

Die Paramter/subjects der Zertifikate bei "leftid/rightid" auslesen lassen mit:
openssl x509 -noout -subject -serial -in $ERSTELLTESCERTFÜRHOST.crt

==ipsec neustarten==

service ipsec restart
ipsec verify

ipsec auto --add $CENTOSHOSTNAME-$GEGENSEITEHOSTNAME ('''Die VPN, welche in der ipsec.conf angegeben wurde''')
ipsec auto --up $CENTOSHOSTNAME-$GEGENSEITEHOSTNAME

tail -f /var/log/messages

=Links=
*https://lists.openswan.org/pipermail/users/2009-July/016991.html
*https://lists.openswan.org/pipermail/users/2012-April/021504.html

Version 6.x - Versionsgeschichte

Thomas: Die Seite wurde neu angelegt: „ =Interface Konfiguration= '''vi /etc/sysconfig/network-scripts/ifcfg-eth0''' ;DEVICE="''eth0''" :Gibt den Namen der Schnittstelle an ;HWADDR="08:00…“