Strongswan zu strongswan cert ikev2 site to site: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (15 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
| Zeile 2: | Zeile 2: | ||
*Wir sehen die fw2 als dynamische IP and die wechseln kann. | *Wir sehen die fw2 als dynamische IP and die wechseln kann. | ||
=fw1= | =fw1= | ||
| − | ==Cert | + | ==Cert Lokalisierung== |
;Die Dateien müssen genau an diesen Stellen liegen | ;Die Dateien müssen genau an diesen Stellen liegen | ||
*find /etc/ipsec.d/ -type f | *find /etc/ipsec.d/ -type f | ||
| Zeile 8: | Zeile 8: | ||
/etc/ipsec.d/certs/fw1.crt | /etc/ipsec.d/certs/fw1.crt | ||
/etc/ipsec.d/cacerts/ca.crt | /etc/ipsec.d/cacerts/ca.crt | ||
| + | |||
| + | ==/etc/ipsec.conf== | ||
| + | *leftcert ist das eigene Zertifikat | ||
| + | *right=0.0.0.0 weil die IP des Gegenübers dynamisch ist. Alternativ würde auch %any gehen. | ||
| + | *rightid ist der Distinguish Name des Gegenübers | ||
| + | *auto=add Damit nicht verbunden wird, das die IP unbekannt ist. | ||
| + | <pre> | ||
| + | conn s2s-cert | ||
| + | authby=rsasig | ||
| + | keyexchange=ikev2 | ||
| + | left=10.82.227.12 | ||
| + | leftcert="fw1.crt" | ||
| + | leftsubnet=10.82.243.0/24 | ||
| + | right=0.0.0.0 | ||
| + | rightid="CN=fw2" | ||
| + | rightsubnet=10.82.244.0/24 | ||
| + | ike=aes256-sha256-modp4096! | ||
| + | esp=aes256-sha256-modp4096! | ||
| + | auto=add | ||
| + | </pre> | ||
| + | |||
==/etc/ipsec.secrets== | ==/etc/ipsec.secrets== | ||
10.82.227.12 : RSA fw1.key "" | 10.82.227.12 : RSA fw1.key "" | ||
=fw2= | =fw2= | ||
| − | ==Cert | + | ==Cert Lokalisierung== |
;Die Dateien müssen genau an diesen Stellen liegen | ;Die Dateien müssen genau an diesen Stellen liegen | ||
*find /etc/ipsec.d/ -type f | *find /etc/ipsec.d/ -type f | ||
| Zeile 17: | Zeile 38: | ||
/etc/ipsec.d/certs/fw2.crt | /etc/ipsec.d/certs/fw2.crt | ||
/etc/ipsec.d/cacerts/ca.crt | /etc/ipsec.d/cacerts/ca.crt | ||
| + | |||
| + | ==/etc/ipsec.conf== | ||
| + | *leftcert ist das eigene Zertifikat | ||
| + | *left kann weg gelassen werden da die IP dynamisch ist. | ||
| + | *rightid ist der Distinguish Name des Gegenübers | ||
| + | *right ist die IP des Gegenübers | ||
| + | <pre> | ||
| + | conn s2s-cert | ||
| + | authby=rsasig | ||
| + | keyexchange=ikev2 | ||
| + | leftcert="fw2.crt" | ||
| + | leftsubnet=10.82.244.0/24 | ||
| + | right=10.82.227.12 | ||
| + | rightid="CN=fw1" | ||
| + | rightsubnet=10.82.243.0/24 | ||
| + | ike=aes256-sha256-modp4096! | ||
| + | esp=aes256-sha256-modp4096! | ||
| + | auto=start | ||
| + | </pre> | ||
| + | |||
==/etc/ipsec.secrets== | ==/etc/ipsec.secrets== | ||
10.82.227.22 : RSA fw2.key "" | 10.82.227.22 : RSA fw2.key "" | ||
Aktuelle Version vom 2. August 2023, 18:09 Uhr
Grundlegendes
- Wir sehen die fw2 als dynamische IP and die wechseln kann.
fw1
Cert Lokalisierung
- Die Dateien müssen genau an diesen Stellen liegen
- find /etc/ipsec.d/ -type f
/etc/ipsec.d/private/fw1.key /etc/ipsec.d/certs/fw1.crt /etc/ipsec.d/cacerts/ca.crt
/etc/ipsec.conf
- leftcert ist das eigene Zertifikat
- right=0.0.0.0 weil die IP des Gegenübers dynamisch ist. Alternativ würde auch %any gehen.
- rightid ist der Distinguish Name des Gegenübers
- auto=add Damit nicht verbunden wird, das die IP unbekannt ist.
conn s2s-cert
authby=rsasig
keyexchange=ikev2
left=10.82.227.12
leftcert="fw1.crt"
leftsubnet=10.82.243.0/24
right=0.0.0.0
rightid="CN=fw2"
rightsubnet=10.82.244.0/24
ike=aes256-sha256-modp4096!
esp=aes256-sha256-modp4096!
auto=add
/etc/ipsec.secrets
10.82.227.12 : RSA fw1.key ""
fw2
Cert Lokalisierung
- Die Dateien müssen genau an diesen Stellen liegen
- find /etc/ipsec.d/ -type f
/etc/ipsec.d/private/fw2.key /etc/ipsec.d/certs/fw2.crt /etc/ipsec.d/cacerts/ca.crt
/etc/ipsec.conf
- leftcert ist das eigene Zertifikat
- left kann weg gelassen werden da die IP dynamisch ist.
- rightid ist der Distinguish Name des Gegenübers
- right ist die IP des Gegenübers
conn s2s-cert
authby=rsasig
keyexchange=ikev2
leftcert="fw2.crt"
leftsubnet=10.82.244.0/24
right=10.82.227.12
rightid="CN=fw1"
rightsubnet=10.82.243.0/24
ike=aes256-sha256-modp4096!
esp=aes256-sha256-modp4096!
auto=start
/etc/ipsec.secrets
10.82.227.22 : RSA fw2.key ""