Grundlegendes

• Wir sehen die fw2 als dynamische IP and die wechseln kann.

fw1

Cert Localisation

Die Dateien müssen genau an diesen Stellen liegen

• find /etc/ipsec.d/ -type f

/etc/ipsec.d/private/fw1.key
/etc/ipsec.d/certs/fw1.crt
/etc/ipsec.d/cacerts/ca.crt

/etc/ipsec.conf

• leftcert ist das eigene Zertifikat
• right=0.0.0.0 weil die IP des Gegenübers dynamisch ist. Alternativ würde auch %any gehen.
• rightid ist der Distinguish Name des Gegenübers
• auto=add Damit nicht verbunden wird, das die IP unbekannt ist.

conn s2s-cert
     authby=rsasig
     keyexchange=ikev2
     left=10.82.227.12
     leftcert="fw1.crt"
     leftsubnet=10.82.243.0/24
     right=0.0.0.0
     rightid="CN=fw2"
     rightsubnet=10.82.244.0/24
     ike=aes256-sha256-modp4096!
     esp=aes256-sha256-modp4096!
     auto=add                

/etc/ipsec.secrets

10.82.227.12  : RSA fw1.key ""

fw2

Cert Localisation

Die Dateien müssen genau an diesen Stellen liegen

• find /etc/ipsec.d/ -type f

/etc/ipsec.d/private/fw2.key
/etc/ipsec.d/certs/fw2.crt
/etc/ipsec.d/cacerts/ca.crt

/etc/ipsec.conf

• leftcert ist das eigene Zertifikat
• leftid ist der eigene Distinguish Name
• left kann weg gelassen werden da die IP dynamisch ist.
• rightid ist der Distinguish Name des Gegenübers
• right ist die IP des Gegenübers

conn s2s-cert
     authby=rsasig
     keyexchange=ikev2
     leftcert="fw2.crt"
     leftsubnet=10.82.244.0/24
     right=10.82.227.12
     rightid="CN=fw1"
     rightsubnet=10.82.243.0/24
     ike=aes256-sha256-modp4096!
     esp=aes256-sha256-modp4096!
     auto=start

/etc/ipsec.secrets

10.82.227.22  : RSA fw2.key ""