Schaubild
Installation
- Diese Einstellung kann auf beiden Seite gleich angewendet werden (bis auf die IPs)
- apt install strongswan
- xx eigene Seite, gegenüberliegende Seite yy
Einrichtung
conn site2site-psk
authby=secret
keyexchange=ikev2
left=192.168.3.1xx
leftid=192.168.3.1xx
leftsubnet=172.16.1xx.0/24,172.17.1xx.0/24
mobike=no
right=192.168.3.1yy
rightid=192.168.3.1yy
rightsubnet=172.16.1yy.0/24,172.17.1yy.0/24
ike=aes256-sha256-modp4096!
esp=aes256-sha256-modp4096!
auto=start
Partner 1
- Eine Seite generiert einen Schlüssel, z.B. head /dev/random | tr -dc A-Za-z0-9 | head -c 20 ; echo
- Dieser Schlüssel könnt ihr austauschen. Chat oder Verbal
Partner 2
- Nun kann sich die Gegenseite den Schlüssel holen (Vom LAN Host aus sollte Port 22 in der Forward-Kette freigeschaltet werden)
- sftp gast@sftp.lab1yy.sec
- get ipsec.secret
- Danach sollte der Schlüssel wieder vom SFTP Server gelöscht werden
Beide
- Wenn beide Seiten den Schlüssel haben, kann man nun diese in die Datei ipsec.secrets eintragen
- vim /etc/ipsec.secrets
192.168.3.1xx 192.168.3.1yy : PSK "hierdertotalgeheimeschlüssel"
- Auf der Firewall noch in der INPUT-Kette UDP Port 500 und 4500 freischalten
- vim /usr/local/sbin
...
iptables -A INPUT -m multiport -p udp --dport 500,4500 -i $WANDEV -j ACCEPT
...
iptables -A OUTPUT -m multiport -p udp --dport 500,4500 -o $WANDEV -j ACCEPT
...
- Nun sollte man die IPsec Verbindung aufbauen können
- ipsec up site2site-psk
- Verbindung herunterfahren
- ipsec down site2site-psk
- Verbindung status
- ipsec status site2site-psk
- Den Status der Verbindung kann man mit ipsec statusall checken
- Falls die Verbindung steht sollte ein Ping in das gegenüberliegende Netz auch funktionieren
- ping -I 172.16.1xx.1 172.16.1yy.1
![Bearbeiten](javascript:editDrawio("595882922", "linux-sec-fire-03.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}