CentOS: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(7 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
=Interface Konfiguration=
+
*[[centos-6]]
'''vi /etc/sysconfig/network-scripts/ifcfg-eth0'''
+
*[[centos-7]]
 
+
*[[centos-8]]
;DEVICE="''eth0''"
 
:Gibt den Namen der Schnittstelle an
 
 
 
;HWADDR="<nowiki>08:00:27:35:E9:2B</nowiki>"
 
:Gibt die MAC-Adresse an
 
 
 
;ONBOOT="yes"
 
:Gibt an ob die Schnittstelle beim booten gestartet werden soll
 
 
 
;IPADDR="192.168.0.100"
 
:Gibt die IP-Adresse der Schnittstelle an
 
 
 
;NETMASK="255.255.255.0"
 
:Gibt die Netzmaske der Schnittstelle an
 
 
 
;GATEWAY="192.168.0.1"
 
:Gibt den default Router an
 
=Hostname ändern=
 
*http://www.rackspace.com/knowledge_center/article/centos-hostname-change
 
==ssh enablen==
 
chkconfig sshd on
 
=openswan=
 
 
 
==Installation==
 
 
 
yum install openswan nss-tools ipsec-tools
 
mkdir /root/certs
 
 
 
== Zertifikaterstellung ==
 
 
 
Auf ezri liegt das '''makepki'''-Tool.
 
 
 
makepki cert $HOSTNAME
 
tar cfvz $HOSTNAME.tgz $HOSTNAME.* ca.crt ca.crl
 
scp $HOSTNAME.tgz $HOSTNAME:/root/certs
 
 
 
Auf dem Centossystem:
 
 
cd /root/certs
 
tar xfv $HOSTNAME.tgz
 
 
 
==nss Zertifikate in Datenbank pflegen==
 
 
 
*Standard DB-TYPE wird hiermit angegeben:
 
export NSS_DEFAULT_DB_TYPE="sql"
 
 
 
*Neue Zertifikat-Datenbank ('''LEERE PASSWÖRTER BENUTZEN!''')
 
certutil -N -d /etc/ipsec.d
 
 
 
*P12 import
 
pk12util -i certkey.p12 -d /etc/ipsec.d
 
 
 
*Name von dem Zertifikat in der nss-Datenbank anzeigen
 
certutil -L -d /etc/ipsec.d
 
 
 
: Beispiel:
 
<pre>
 
[root@centos64 ~]#  export NSS_DEFAULT_DB_TYPE="sql"
 
[root@centos64 ~]#  certutil -L -d /etc/ipsec.d
 
 
 
Certificate Nickname                                        Trust Attributes
 
                                                            SSL,S/MIME,JAR/XPI
 
 
 
'''centos64.xinux''' (##BEISPIEL-ZERTIFIKATSNAME)            u,u,u
 
xinux-ca                                                    ,, 
 
</pre>
 
 
 
*Neue Datei erstellen mit dem Inhalt:
 
vi /etc/ipsec.d/nss.certs
 
 
Inhalt:
 
@fqdn: RSA "name of certificate in nss db" ""
 
 
 
Beispiel:
 
@centos64.xinux: RSA "centos64.xinux" ""
 
 
 
==ipsec.conf==
 
 
 
vi /etc/ipsec.conf
 
<pre>
 
version 2.0    # conforms to second version of ipsec.conf specification
 
config setup
 
        protostack=netkey
 
        nat_traversal=yes
 
        virtual_private=
 
        oe=off
 
 
 
conn $CENTOSHOSTNAME-$GEGENSEITEHOSTNAME
 
        authby=rsasig
 
        left=$IP-GEGENSEITE
 
        leftrsasigkey=%cert
 
        leftid="C=de, ST=pfalz, L=zw, OU=edv, CN=$CN-GEGENSEITE, E=technik@xinux.de" (CN gibt man bei makepki an...)
 
        leftsubnet=$SUBNET-GEGENSEITE
 
        right=$IP-CENTOS
 
        rightcert=centos64.xinux ('''Das Zertifikat aus der NSS-Bank muss benutzt werden!''')
 
        rightid="C=de, ST=pfalz, L=zw, OU=edv, CN=$CN-CENTOS, E=technik@xinux.de" (CN gibt man bei makepki an...)
 
        rightrsasigkey=%cert
 
        rightsubnet=$SUBNET-CENTOS
 
        ike=3des-md5-modp1024
 
        esp=3des-md5-96
 
        pfs=yes
 
        auto=start
 
</pre>
 
 
 
===ACHTUNG!===
 
 
 
Die Paramter der Zertifikate bei "leftid/rightid" auslesen lassen mit:
 
openssl x509 -noout -subject -serial -in $ERSTELLTESCERTFÜRHOST.crt
 
 
 
==ipsec neustarten==
 
 
 
service ipsec restart
 
ipsec auto --add $CENTOSHOSTNAME-$GEGENSEITEHOSTNAME ('''Die VPN, welche in der ipsec.conf angegeben wurde''')
 
ipsec auto --up $CENTOSHOSTNAME-$GEGENSEITEHOSTNAME
 
 
 
tail -f /var/log/messages
 
 
 
=Links=
 
*https://lists.openswan.org/pipermail/users/2009-July/016991.html
 
*https://lists.openswan.org/pipermail/users/2012-April/021504.html
 

Aktuelle Version vom 10. November 2020, 14:34 Uhr

Abgerufen von „http://wiki.ixheim.de/index.php?title=CentOS&oldid=22403