Interface Konfiguration

vi /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE="eth0"

Gibt den Namen der Schnittstelle an

HWADDR="08:00:27:35:E9:2B"

Gibt die MAC-Adresse an

ONBOOT="yes"

Gibt an ob die Schnittstelle beim booten gestartet werden soll

IPADDR="192.168.0.100"

Gibt die IP-Adresse der Schnittstelle an

NETMASK="255.255.255.0"

Gibt die Netzmaske der Schnittstelle an

GATEWAY="192.168.0.1"

Gibt den default Router an

Hostname ändern

• http://www.rackspace.com/knowledge_center/article/centos-hostname-change
• hostnamectl set-hostname saul.xinux.org

hostnamectl set-hostname www.der-linux-admin.de

hostnamectl set-hostname www.der-linux-admin.de hostnamectl set-hostname www.der-linux-admin.de

ssh enablen

chkconfig sshd on

openswan

Installation

yum install openswan nss-tools ipsec-tools
mkdir /root/certs
echo "1" > /proc/sys/net/ipv4/ip_forward

Zertifikaterstellung

Auf ezri liegt das makepki-Tool.

makepki cert $HOSTNAME
tar cfvz $HOSTNAME.tgz $HOSTNAME.* ca.crt ca.crl
scp $HOSTNAME.tgz $HOSTNAME:/root/certs

Auf dem Centossystem:

cd /root/certs
tar xfv $HOSTNAME.tgz 

nss Zertifikate in Datenbank pflegen

• Standard DB-TYPE wird hiermit angegeben:

export NSS_DEFAULT_DB_TYPE="sql"

• Neue Zertifikat-Datenbank (LEERE PASSWÖRTER BENUTZEN!)

certutil -N -d /etc/ipsec.d

• P12 import

pk12util -i certkey.p12 -d /etc/ipsec.d

• Name von dem Zertifikat in der nss-Datenbank anzeigen

certutil -L -d /etc/ipsec.d 

Beispiel:

[root@centos64 ~]#  export NSS_DEFAULT_DB_TYPE="sql"
[root@centos64 ~]#  certutil -L -d /etc/ipsec.d 

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

'''centos64.xinux''' (##BEISPIEL-ZERTIFIKATSNAME)            u,u,u
xinux-ca                                                     ,,   

• Neue Datei erstellen mit dem Inhalt:

vi /etc/ipsec.d/nss.certs 

Inhalt:
@fqdn: RSA "name of certificate in nss db" ""

Beispiel:
@centos64.xinux: RSA "centos64.xinux" ""

ipsec.conf

vi /etc/ipsec.conf

version 2.0     # conforms to second version of ipsec.conf specification
config setup
        protostack=netkey
        nat_traversal=yes
        virtual_private=
        oe=off

conn $CENTOSHOSTNAME-$GEGENSEITEHOSTNAME
        authby=rsasig
        left=$IP-GEGENSEITE
        leftrsasigkey=%cert
        leftid="C=de, ST=pfalz, L=zw, OU=edv, CN=$CN-GEGENSEITE, E=technik@xinux.de" (CN gibt man bei makepki an...)
        leftsubnet=$SUBNET-GEGENSEITE
        right=$IP-CENTOS
        rightcert=centos64.xinux ('''Das Zertifikat aus der NSS-Bank muss benutzt werden!''')
        rightid="C=de, ST=pfalz, L=zw, OU=edv, CN=$CN-CENTOS, E=technik@xinux.de" (CN gibt man bei makepki an...)
        rightrsasigkey=%cert
        rightsubnet=$SUBNET-CENTOS
        ike=3des-md5-modp1024
        esp=3des-md5-96
        pfs=yes
        auto=start

ACHTUNG!

Die Paramter/subjects der Zertifikate bei "leftid/rightid" auslesen lassen mit:

openssl x509 -noout -subject -serial -in $ERSTELLTESCERTFÜRHOST.crt

ipsec neustarten

service ipsec restart
ipsec verify

ipsec auto --add $CENTOSHOSTNAME-$GEGENSEITEHOSTNAME (Die VPN, welche in der ipsec.conf angegeben wurde)
ipsec auto --up $CENTOSHOSTNAME-$GEGENSEITEHOSTNAME

tail -f /var/log/messages

Links

• https://lists.openswan.org/pipermail/users/2009-July/016991.html
• https://lists.openswan.org/pipermail/users/2012-April/021504.html