Strongswan zu strongswan cert ikev2 site to site: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| Zeile 39: | Zeile 39: | ||
==/etc/ipsec.conf== | ==/etc/ipsec.conf== | ||
*leftcert ist das eigene Zertifikat | *leftcert ist das eigene Zertifikat | ||
| − | |||
*left kann weg gelassen werden da die IP dynamisch ist. | *left kann weg gelassen werden da die IP dynamisch ist. | ||
*rightid ist der Distinguish Name des Gegenübers | *rightid ist der Distinguish Name des Gegenübers | ||
Version vom 5. September 2022, 10:23 Uhr
Grundlegendes
- Wir sehen die fw2 als dynamische IP and die wechseln kann.
fw1
Cert Localisation
- Die Dateien müssen genau an diesen Stellen liegen
- find /etc/ipsec.d/ -type f
/etc/ipsec.d/private/fw1.key /etc/ipsec.d/certs/fw1.crt /etc/ipsec.d/cacerts/ca.crt
/etc/ipsec.conf
- leftcert ist das eigene Zertifikat
- right=0.0.0.0 weil die IP des Gegenübers dynamisch ist. Alternativ würde auch %any gehen.
- rightid ist der Distinguish Name des Gegenübers
- auto=add Damit nicht verbunden wird, das die IP unbekannt ist.
conn s2s-cert
authby=rsasig
keyexchange=ikev2
left=10.82.227.12
leftcert="fw1.crt"
leftsubnet=10.82.243.0/24
right=0.0.0.0
rightid="CN=fw2"
rightsubnet=10.82.244.0/24
ike=aes256-sha256-modp4096!
esp=aes256-sha256-modp4096!
auto=add
/etc/ipsec.secrets
10.82.227.12 : RSA fw1.key ""
fw2
Cert Localisation
- Die Dateien müssen genau an diesen Stellen liegen
- find /etc/ipsec.d/ -type f
/etc/ipsec.d/private/fw2.key /etc/ipsec.d/certs/fw2.crt /etc/ipsec.d/cacerts/ca.crt
/etc/ipsec.conf
- leftcert ist das eigene Zertifikat
- left kann weg gelassen werden da die IP dynamisch ist.
- rightid ist der Distinguish Name des Gegenübers
- right ist die IP des Gegenübers
conn s2s-cert
authby=rsasig
keyexchange=ikev2
leftcert="fw2.crt"
leftsubnet=10.82.244.0/24
right=10.82.227.12
rightid="CN=fw1"
rightsubnet=10.82.243.0/24
ike=aes256-sha256-modp4096!
esp=aes256-sha256-modp4096!
auto=start
/etc/ipsec.secrets
10.82.227.22 : RSA fw2.key ""