Konfiguration einer IPSEC-VPN Bintec mit Openswan und Zertifikaten

Aus Xinux Wiki
Version vom 28. April 2016, 10:16 Uhr von Thomas (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „ '''Importieren von Zertifikaten''' 1. ueber setup den Punkt "IPSEC" auswaehlen und bestaetigen 2. Den Unterpunkt "Certificate and Key Management" ausw…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen


Importieren von Zertifikaten 

1. ueber setup den Punkt "IPSEC" auswaehlen und bestaetigen

2. Den Unterpunkt "Certificate and Key Management" auswahlen und bestaetigen

3. Zum Importieren von Zertifikaten den Unterpunkt "Qwn Certificates" waehlen

4. Im folgenden Fenster auf "Download" gehen und die entprechenden Werte fuer den TFTP-Server mit dem Zertifikat eintragen
mit "Start" download starten und Zertifikat importieren.


Description


Danach sollte unter unter "IPSEC" "Certificate and Key Management" "Own Certificates" ein Zertifikat zu finden sein. Durch Auswaehlen mit enter sollte folgendes Bild erscheinen


Description



5.Um die zuvor mit Preshared Key konfigurierte Verbindung an Zertifikate anzupassen ins Menu "IPSEC" und bei "IKE (Phase 1) Defaults" edit waehlen,
anpassen und abspeichern
Wichtig, der Eintrag bei "Local ID" muss dort umgekehrt zu dem Eintrag bei den OpenSwan Clients stehen, also zunaechst CN= ...;
er muss dem Eintrag des obigen Subject Name entsprechen, inklusive der <> Zeichen


Description


6. Ueber "IPSEC" "Configure Peers" den entprechenden Eintrag auswaehlung und folgendermassen anpassen und speichern
Wichtig, auch hier muss, wie oben, die Peer ID umgekehrt zur Konfiguration bei openswan angegeben werden, also CN=....


Description
  
 
7. abschliessend "Save as boot configuration and exit" waehlen



Openswan Konfigurationsdatei 

knub:~# cat /etc/ipsec.conf
version 2.0

config setup
       interfaces="ipsec0=eth0"
       klipsdebug=none
       plutodebug="control"
       #plutodebug="emitting parsing control"
       #plutodebug="all"

conn knub-funkwerk
      left=192.168.240.1
      leftid="C=de,ST=pfalz,L=zw,O=xinux,OU=edv,CN=funkwerk.alpha.quadrant"
      leftsubnet=192.168.0.0/24
      leftrsasigkey=%cert
      right=192.168.254.29
      rightid="C=de,ST=pfalz,L=zw,O=xinux,OU=edv,CN=knub.alpha.quadrant"
      rightsubnet=192.168.9.0/24
      rightcert="knub.alpha.quadrant.crt"
      rightrsasigkey=%cert
      authby=rsasig
      ike=3des-md5-modp1024
      esp=3des-md5-96
      pfs=yes
      auto=add

include /etc/ipsec.d/examples/no_oe.conf


Openswan Secretdatei 

knub:~# cat /etc/ipsec.secrets

192.168.254.29 0.0.0.0 : RSA knub.alpha.quadrant.key ""


Secretdatei neu einlesen 

knub:~# ipsec auto --rereadsecrets


Hinzufügen der Verbindung zur Security Association Database 

knub:~# ipsec auto --replace knub-funkwerk && ipsec auto --add knub-funkwerk
Abgerufen von „http://wiki.ixheim.de/index.php?title=Konfiguration_einer_IPSEC-VPN_Bintec_mit_Openswan_und_Zertifikaten&oldid=9024