Strongswan zu strongswan cert ikev2 site to site: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
Zeile 9: Zeile 9:
 
  /etc/ipsec.d/cacerts/ca.crt
 
  /etc/ipsec.d/cacerts/ca.crt
 
==/etc/ipsec.conf==
 
==/etc/ipsec.conf==
*Left sollte immer die eigene Seite sein.
 
 
*leftcert ist das eigene Zertifikat
 
*leftcert ist das eigene Zertifikat
*leftid ist der eigene Distinguish Name
+
*right=0.0.0.0 weil die IP des Gegenübers dynamisch ist. Alternativ würde auch %any gehen.
*right= 0.0.0.0 weil die IP des Gegenübers dynamisch ist. Alternativ würde auch %any gehen.
 
 
*rightid ist der Distinguish Name des Gegenübers
 
*rightid ist der Distinguish Name des Gegenübers
 
+
*auto=add Damit nicht verbunden wird, das die IP unbekannt ist.
 
<pre>
 
<pre>
 
conn s2s-cert
 
conn s2s-cert
Zeile 21: Zeile 19:
 
     left=10.82.227.12
 
     left=10.82.227.12
 
     leftcert="fw1.crt"
 
     leftcert="fw1.crt"
    leftid="CN=fw1"
 
 
     leftsubnet=10.82.243.0/24
 
     leftsubnet=10.82.243.0/24
 
     right=0.0.0.0
 
     right=0.0.0.0
Zeile 28: Zeile 25:
 
     ike=aes256-sha256-modp4096!
 
     ike=aes256-sha256-modp4096!
 
     esp=aes256-sha256-modp4096!
 
     esp=aes256-sha256-modp4096!
     auto=add
+
     auto=add              
 
</pre>
 
</pre>
  

Version vom 5. September 2022, 10:22 Uhr

Grundlegendes

  • Wir sehen die fw2 als dynamische IP and die wechseln kann.

fw1

Cert Localisation

Die Dateien müssen genau an diesen Stellen liegen
  • find /etc/ipsec.d/ -type f
/etc/ipsec.d/private/fw1.key
/etc/ipsec.d/certs/fw1.crt
/etc/ipsec.d/cacerts/ca.crt

/etc/ipsec.conf

  • leftcert ist das eigene Zertifikat
  • right=0.0.0.0 weil die IP des Gegenübers dynamisch ist. Alternativ würde auch %any gehen.
  • rightid ist der Distinguish Name des Gegenübers
  • auto=add Damit nicht verbunden wird, das die IP unbekannt ist.
conn s2s-cert
     authby=rsasig
     keyexchange=ikev2
     left=10.82.227.12
     leftcert="fw1.crt"
     leftsubnet=10.82.243.0/24
     right=0.0.0.0
     rightid="CN=fw2"
     rightsubnet=10.82.244.0/24
     ike=aes256-sha256-modp4096!
     esp=aes256-sha256-modp4096!
     auto=add

/etc/ipsec.secrets

10.82.227.12  : RSA fw1.key ""

fw2

Cert Localisation

Die Dateien müssen genau an diesen Stellen liegen
  • find /etc/ipsec.d/ -type f
/etc/ipsec.d/private/fw2.key
/etc/ipsec.d/certs/fw2.crt
/etc/ipsec.d/cacerts/ca.crt

/etc/ipsec.conf

  • leftcert ist das eigene Zertifikat
  • leftid ist der eigene Distinguish Name
  • left kann weg gelassen werden da die IP dynamisch ist.
  • rightid ist der Distinguish Name des Gegenübers
  • right ist die IP des Gegenübers
conn s2s-cert
     authby=rsasig
     keyexchange=ikev2
     leftcert="fw2.crt"
     leftid="CN=fw2"
     leftsubnet=10.82.244.0/24
     right=10.82.227.12
     rightid="CN=fw1"
     rightsubnet=10.82.243.0/24
     ike=aes256-sha256-modp4096!
     esp=aes256-sha256-modp4096!
     auto=start

/etc/ipsec.secrets

10.82.227.22  : RSA fw2.key ""
Abgerufen von „http://wiki.ixheim.de/index.php?title=Strongswan_zu_strongswan_cert_ikev2_site_to_site&oldid=34565