VPN Bintec zu Linux

Aus Xinux Wiki
Version vom 21. Juli 2011, 14:20 Uhr von 192.168.241.10 (Diskussion) (Die Seite wurde neu angelegt: „= Ist-zustand = * ESXi Server zur Simulation der Linux Seite unkonfiguriert vorhanden * unkonfigurierter Bintec Router = Soll-zustand = # 2 gesicherte Netze soll…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Ist-zustand

  • ESXi Server zur Simulation der Linux Seite unkonfiguriert vorhanden
  • unkonfigurierter Bintec Router

Soll-zustand

  1. 2 gesicherte Netze sollen über eine verschlüsselte VPN Verbindung miteinander kommunizieren
    Bintec Router - Mit Laptop für Testnetz
    Linux System
  2. VPN Eigenschaften
    1. Authentifizierung mittels PSK
    2. Austausch des PSK mit Zertifikaten
      Bintec behält feste IP

Kann Optionen

  • Linux Seite bekommt Adressen via DHCP
  • Datenverkehr wird mittels Firewall geregelt

Abgrenzungskriterien

  • Keine Roadwarrior

Netzplan

BILD

Netze

Transitnetz
192.168.240.0/20
Bintec Intern
172.23.47.0/24
Linux Intern
192.168.33.0/24

IPs

Bintec
  • Transit
192.168.253.47
  • Intern
172.23.47.1
  • Client
172.23.47.5
Linux
  • Transit
192.168.248.21
  • Intern
192.168.33.1

Vorgehensweise

  1. Grundaufbau
    Netzwerkstukur
    Verkabelung
    Bintec Basiskonfiguration ohne VPNs
    VM Installieren
  2. VPN Aufbau
    Kenndaten
    siehe Datei:Projekt Bintec VPN 1.pdf
  3. VPN Wechsel zu Zertifikaten
    Kenndaten
    Siehe Datei:Projekt Bintec VPN 2.pdf

Step by Step Anleitung

VPN mit PSK

Konfiguration der Linux Seite

Installation von OpenSwan als IPSec Implementierung 

aptitude install openswan

IPSec Konfiguration

Konfiguration der VPN Tunnel

/etc/ipsec.conf 

config setup
      protostack=netkey 
      nat_traversal=yes 

conn %default                         # Standartwerte
       left=192.168.248.21            # Eigene externe IP
       leftid=192.168.248.21          # Eigene Gateway ID
       leftsubnet=192.168.33.0/24     # Zu tunnelndes eigenes Netzwerk
       authby=secret                  # Authentifizierungsmethode
       ike=3des-md5-modp1024          # Phase 1 Authentifizierungs-Parameter für Verschlüsselung und Hashes
       esp=3des-md5-96                # Phase 2 Parameter 
       pfs=yes                        # erneute Diffie-Hellman-Methode bei periodischem Schlüsselwechsel
       auto=start                     # VPN Automatisch starten

conn linux-bintec                     # interner Name der VPN Verbindung
       right=192.168.253.47           # VPN Gateway IP der Gegenseite
       rightsubnet=172.23.47.0/24     # via VPN getunneltes Netz der Gegenseite
Einrichtung des gemeinsamen Geheimnisses (PSK)

/etc/ipsec.secrets 

192.168.248.21 192.168.253.47 : PSK "meinsicherespasswort"

Start der Konfiguration 

/etc/init.d/ipsec start
ipsec setup --restart

Konfiguration der Bintec Seite

(Klicken zum Vergrößern)

IPSec-Peers.jpgIPSec-Peers2.jpg

Phase-1.jpgPhase-1-2.jpg

Phase-2.jpgPhase-2-2.jpg

VPN mit Zertifikaten

Uhrzeiten und Datum auf allen Geräten kontrollieren und synchronisieren!

Konfiguration der Linux Seite

Konfiguration der Bintec Seite

certifikat erstellen

In PKCS #12 Format konvertieren

Wichtig Container mit einem Passwort versehen, da Bintec sonst den Import abbricht 

openssl pkcs12 -export -in bintec.crt -inkey bintec.key -certfile ca.crt -out bintec.p12

Links

Abgerufen von „http://wiki.ixheim.de/index.php?title=VPN_Bintec_zu_Linux&oldid=1865