Grundlegendes

• Wir sehen die fw2 als dynamische IP and die wechseln kann.

fw1

Cert Localisation

Die Dateien müssen genau an diesen Stellen liegen

• find /etc/ipsec.d/ -type f

/etc/ipsec.d/private/fw1.key
/etc/ipsec.d/certs/fw1.crt
/etc/ipsec.d/cacerts/ca.crt

/etc/ipsec.conf

• Left sollte immer die eigene Seite sein.
• leftcert ist das eigene Zertifikat
• leftid ist der eigene Distinguish Name
• right=%any weil die IP des Gegenübers dynamisch ist.
• rightid ist der Distinguish Name des Gegenübers

conn s2s-cert
     authby=rsasig
     keyexchange=ikev2
     left=10.82.227.12
     leftcert="fw1.crt"
     leftid="CN=fw1"
     leftsubnet=10.82.243.0/24
     mobike=no
     right=%any
     rightid="CN=fw2"
     rightsubnet=10.82.244.0/24
     ike=aes256-sha256-modp4096!
     esp=aes256-sha256-modp4096!
     auto=add

/etc/ipsec.secrets

10.82.227.12  : RSA fw1.key ""

fw2

Cert Localisation

Die Dateien müssen genau an diesen Stellen liegen

• find /etc/ipsec.d/ -type f

/etc/ipsec.d/private/fw2.key
/etc/ipsec.d/certs/fw2.crt
/etc/ipsec.d/cacerts/ca.crt

/etc/ipsec.conf

• Left sollte immer die eigene Seite sein.
• leftcert ist das eigene Zertifikat
• leftid ist der eigene Distinguish Name
• left kann weg gelassen werden da die IP dynamisch ist.
• rightid ist der Distinguish Name des Gegenübers

conn s2s-cert
     authby=rsasig
     keyexchange=ikev2
     leftcert="fw2.crt"
     leftid="CN=fw2"
     leftsubnet=10.82.244.0/24
     right=10.82.227.12
     rightid="CN=fw1"
     rightsubnet=10.82.243.0/24
     mobike=no
     ike=aes256-sha256-modp4096!
     esp=aes256-sha256-modp4096!
     auto=start

/etc/ipsec.secrets

10.82.227.22  : RSA fw2.key ""