Strongswan zu strongswan cert ikev2 site to site: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(6 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 2: Zeile 2:
 
*Wir sehen die fw2 als dynamische IP and die wechseln kann.
 
*Wir sehen die fw2 als dynamische IP and die wechseln kann.
 
=fw1=
 
=fw1=
==Cert Localisation==
+
==Cert Lokalisierung==
 
;Die Dateien müssen genau an diesen Stellen liegen
 
;Die Dateien müssen genau an diesen Stellen liegen
 
*find  /etc/ipsec.d/ -type f  
 
*find  /etc/ipsec.d/ -type f  
Zeile 8: Zeile 8:
 
  /etc/ipsec.d/certs/fw1.crt
 
  /etc/ipsec.d/certs/fw1.crt
 
  /etc/ipsec.d/cacerts/ca.crt
 
  /etc/ipsec.d/cacerts/ca.crt
 +
 
==/etc/ipsec.conf==
 
==/etc/ipsec.conf==
*Left sollte immer die eigene Seite sein.
 
 
*leftcert ist das eigene Zertifikat
 
*leftcert ist das eigene Zertifikat
*leftid ist der eigene Distinguish Name
+
*right=0.0.0.0 weil die IP des Gegenübers dynamisch ist. Alternativ würde auch %any gehen.
*right= 0.0.0.0 weil die IP des Gegenübers dynamisch ist. Alternativ würde auch %any gehen.
 
 
*rightid ist der Distinguish Name des Gegenübers
 
*rightid ist der Distinguish Name des Gegenübers
 
+
*auto=add Damit nicht verbunden wird, das die IP unbekannt ist.
 
<pre>
 
<pre>
 
conn s2s-cert
 
conn s2s-cert
Zeile 21: Zeile 20:
 
     left=10.82.227.12
 
     left=10.82.227.12
 
     leftcert="fw1.crt"
 
     leftcert="fw1.crt"
    leftid="CN=fw1"
 
 
     leftsubnet=10.82.243.0/24
 
     leftsubnet=10.82.243.0/24
 
     right=0.0.0.0
 
     right=0.0.0.0
Zeile 28: Zeile 26:
 
     ike=aes256-sha256-modp4096!
 
     ike=aes256-sha256-modp4096!
 
     esp=aes256-sha256-modp4096!
 
     esp=aes256-sha256-modp4096!
     auto=add
+
     auto=add              
 
</pre>
 
</pre>
  
Zeile 34: Zeile 32:
 
  10.82.227.12  : RSA fw1.key ""
 
  10.82.227.12  : RSA fw1.key ""
 
=fw2=
 
=fw2=
==Cert Localisation==
+
==Cert Lokalisierung==
 
;Die Dateien müssen genau an diesen Stellen liegen
 
;Die Dateien müssen genau an diesen Stellen liegen
 
*find  /etc/ipsec.d/ -type f  
 
*find  /etc/ipsec.d/ -type f  
Zeile 40: Zeile 38:
 
  /etc/ipsec.d/certs/fw2.crt
 
  /etc/ipsec.d/certs/fw2.crt
 
  /etc/ipsec.d/cacerts/ca.crt
 
  /etc/ipsec.d/cacerts/ca.crt
 +
 
==/etc/ipsec.conf==
 
==/etc/ipsec.conf==
 
*leftcert ist das eigene Zertifikat
 
*leftcert ist das eigene Zertifikat
*leftid ist der eigene Distinguish Name
 
 
*left kann weg gelassen werden da die IP dynamisch ist.
 
*left kann weg gelassen werden da die IP dynamisch ist.
 
*rightid ist der Distinguish Name des Gegenübers
 
*rightid ist der Distinguish Name des Gegenübers
Zeile 51: Zeile 49:
 
     keyexchange=ikev2
 
     keyexchange=ikev2
 
     leftcert="fw2.crt"
 
     leftcert="fw2.crt"
    leftid="CN=fw2"
 
 
     leftsubnet=10.82.244.0/24
 
     leftsubnet=10.82.244.0/24
 
     right=10.82.227.12
 
     right=10.82.227.12

Aktuelle Version vom 2. August 2023, 18:09 Uhr

Grundlegendes

  • Wir sehen die fw2 als dynamische IP and die wechseln kann.

fw1

Cert Lokalisierung

Die Dateien müssen genau an diesen Stellen liegen
  • find /etc/ipsec.d/ -type f
/etc/ipsec.d/private/fw1.key
/etc/ipsec.d/certs/fw1.crt
/etc/ipsec.d/cacerts/ca.crt

/etc/ipsec.conf

  • leftcert ist das eigene Zertifikat
  • right=0.0.0.0 weil die IP des Gegenübers dynamisch ist. Alternativ würde auch %any gehen.
  • rightid ist der Distinguish Name des Gegenübers
  • auto=add Damit nicht verbunden wird, das die IP unbekannt ist.
conn s2s-cert
     authby=rsasig
     keyexchange=ikev2
     left=10.82.227.12
     leftcert="fw1.crt"
     leftsubnet=10.82.243.0/24
     right=0.0.0.0
     rightid="CN=fw2"
     rightsubnet=10.82.244.0/24
     ike=aes256-sha256-modp4096!
     esp=aes256-sha256-modp4096!
     auto=add

/etc/ipsec.secrets

10.82.227.12  : RSA fw1.key ""

fw2

Cert Lokalisierung

Die Dateien müssen genau an diesen Stellen liegen
  • find /etc/ipsec.d/ -type f
/etc/ipsec.d/private/fw2.key
/etc/ipsec.d/certs/fw2.crt
/etc/ipsec.d/cacerts/ca.crt

/etc/ipsec.conf

  • leftcert ist das eigene Zertifikat
  • left kann weg gelassen werden da die IP dynamisch ist.
  • rightid ist der Distinguish Name des Gegenübers
  • right ist die IP des Gegenübers
conn s2s-cert
     authby=rsasig
     keyexchange=ikev2
     leftcert="fw2.crt"
     leftsubnet=10.82.244.0/24
     right=10.82.227.12
     rightid="CN=fw1"
     rightsubnet=10.82.243.0/24
     ike=aes256-sha256-modp4096!
     esp=aes256-sha256-modp4096!
     auto=start

/etc/ipsec.secrets

10.82.227.22  : RSA fw2.key ""
Abgerufen von „http://wiki.ixheim.de/index.php?title=Strongswan_zu_strongswan_cert_ikev2_site_to_site&oldid=48283