Strongswan zu strongswan cert ikev2 site to site: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (3 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 2: | Zeile 2: | ||
*Wir sehen die fw2 als dynamische IP and die wechseln kann. | *Wir sehen die fw2 als dynamische IP and die wechseln kann. | ||
=fw1= | =fw1= | ||
| − | ==Cert | + | ==Cert Lokalisierung== |
;Die Dateien müssen genau an diesen Stellen liegen | ;Die Dateien müssen genau an diesen Stellen liegen | ||
*find /etc/ipsec.d/ -type f | *find /etc/ipsec.d/ -type f | ||
| Zeile 8: | Zeile 8: | ||
/etc/ipsec.d/certs/fw1.crt | /etc/ipsec.d/certs/fw1.crt | ||
/etc/ipsec.d/cacerts/ca.crt | /etc/ipsec.d/cacerts/ca.crt | ||
| + | |||
==/etc/ipsec.conf== | ==/etc/ipsec.conf== | ||
*leftcert ist das eigene Zertifikat | *leftcert ist das eigene Zertifikat | ||
| Zeile 31: | Zeile 32: | ||
10.82.227.12 : RSA fw1.key "" | 10.82.227.12 : RSA fw1.key "" | ||
=fw2= | =fw2= | ||
| − | ==Cert | + | ==Cert Lokalisierung== |
;Die Dateien müssen genau an diesen Stellen liegen | ;Die Dateien müssen genau an diesen Stellen liegen | ||
*find /etc/ipsec.d/ -type f | *find /etc/ipsec.d/ -type f | ||
| Zeile 37: | Zeile 38: | ||
/etc/ipsec.d/certs/fw2.crt | /etc/ipsec.d/certs/fw2.crt | ||
/etc/ipsec.d/cacerts/ca.crt | /etc/ipsec.d/cacerts/ca.crt | ||
| + | |||
==/etc/ipsec.conf== | ==/etc/ipsec.conf== | ||
*leftcert ist das eigene Zertifikat | *leftcert ist das eigene Zertifikat | ||
Aktuelle Version vom 2. August 2023, 18:09 Uhr
Grundlegendes
- Wir sehen die fw2 als dynamische IP and die wechseln kann.
fw1
Cert Lokalisierung
- Die Dateien müssen genau an diesen Stellen liegen
- find /etc/ipsec.d/ -type f
/etc/ipsec.d/private/fw1.key /etc/ipsec.d/certs/fw1.crt /etc/ipsec.d/cacerts/ca.crt
/etc/ipsec.conf
- leftcert ist das eigene Zertifikat
- right=0.0.0.0 weil die IP des Gegenübers dynamisch ist. Alternativ würde auch %any gehen.
- rightid ist der Distinguish Name des Gegenübers
- auto=add Damit nicht verbunden wird, das die IP unbekannt ist.
conn s2s-cert
authby=rsasig
keyexchange=ikev2
left=10.82.227.12
leftcert="fw1.crt"
leftsubnet=10.82.243.0/24
right=0.0.0.0
rightid="CN=fw2"
rightsubnet=10.82.244.0/24
ike=aes256-sha256-modp4096!
esp=aes256-sha256-modp4096!
auto=add
/etc/ipsec.secrets
10.82.227.12 : RSA fw1.key ""
fw2
Cert Lokalisierung
- Die Dateien müssen genau an diesen Stellen liegen
- find /etc/ipsec.d/ -type f
/etc/ipsec.d/private/fw2.key /etc/ipsec.d/certs/fw2.crt /etc/ipsec.d/cacerts/ca.crt
/etc/ipsec.conf
- leftcert ist das eigene Zertifikat
- left kann weg gelassen werden da die IP dynamisch ist.
- rightid ist der Distinguish Name des Gegenübers
- right ist die IP des Gegenübers
conn s2s-cert
authby=rsasig
keyexchange=ikev2
leftcert="fw2.crt"
leftsubnet=10.82.244.0/24
right=10.82.227.12
rightid="CN=fw1"
rightsubnet=10.82.243.0/24
ike=aes256-sha256-modp4096!
esp=aes256-sha256-modp4096!
auto=start
/etc/ipsec.secrets
10.82.227.22 : RSA fw2.key ""