ipsec im lokalen lan mit freeswan

brockz · Beitrag von **brockz** » 30.05.2004 12:47:02

Hallo ich arbeite mich gerade ein bischen in vpns ein und will auf 2 linux kisten (debian ) nen tunnel aufbauen mit symetrischer verschlüsselung.Habe da zu auf beiden Kisten folgendes Skript am laufen

/etc/ipsec.conf

Code: Alles auswählen

 
# In Version ist die folgende Zeile erforderlich
version 2


config setup
        interfaces="ipsec0=eth1"
        klipsdebug=none
        plutodebug=none
        pluto=no
        manualstart=""

conn brockzworld-brockzworld2
        left=192.168.0.1
        leftnexthop=?????????????
        right=192.168.0.63
        rightnexthop=????????
        spi=0x200
        esp=3des-md5-96
        espenckey=0xafc4ece8_8b684d4b_501486a8_25d0847e_02a10844_846b3678
        espauthkey=0xf4321993_80e2c49c_b12912f0_161f452b

jetzt meine frage was muss ich bei rightnexthop und leftnexthop eingeben ja normal die die verbindungstücke für meine 2 netzwerke das ist ja abe rhier nicht der fall ist ja alles in einem Netzwerk wie muss ich vorgehen ?

mistersixt · Beitrag von **mistersixt** » 31.05.2004 08:59:04

"left" ist ja immer die eine Seite des VPNs, "right" immer die andere. Angenommen, Du hast ff. Setup:

Rechner 1 mit 2 Netzwerkkarten:
Karte 1: 192.168.0.1
Karte 2: 192.168.100.1 (das lokale Netz, das Du tunneln willst)

Rechner 2 mit 2 Netzwerkkarten:
Karte 1: 192.168.0.2
Karte 2: 192.168.101.1 (das andere lokale Netz, dass Du mit 192.168.100.X verbinden willst)

Sei Rechner 1 "left" und Rechner 2 "right". "leftnexthop" ist dann 192.168.0.2, "rightnexthop" 192.168.0.1 ! Ich habe so ein Setup zwar noch nicht gemacht (nur ueber Internet bisher), aber so müsste das funzen. "leftnexthop" ist also die IP-Adresse, zu der auf dem Weg zu "right" als nächstes die VPN-Daten geschickt werden sollen. Bei "rightnexthop" entsprechend.

Immer dran denken, dass die Configs auf beiden VPN-Gateways bei "left" und "right" synonym sein müssen ! Ist Rechner 1 "left" in der Config auf Rechner 1, dann muss auch in der Config von Rechner 2 der Rechner 1 als "left" eingetragen sein.

Gruss, mistersixt.

brockz · Beitrag von **brockz** » 31.05.2004 10:03:10

Wäre das dann so richtig

Code: Alles auswählen

# In Version ist die folgende Zeile erforderlich 
version 2 


config setup 
        interfaces="ipsec0=eth1" 
        klipsdebug=none 
        plutodebug=none 
        pluto=no 
        manualstart="" 

conn brockzworld-brockzworld2 
        left=192.168.0.1 
        leftnexthop=192.168.0.2
        right=192.168.0.2
        rightnexthop=192.168.0.1
        spi=0x200 
        esp=3des-md5-96 
        espenckey=0xafc4ece8_8b684d4b_501486a8_25d0847e_02a10844_846b3678 
        espauthkey=0xf4321993_80e2c49c_b12912f0_161f452b

brockz · Beitrag von **brockz** » 31.05.2004 10:31:34

hab das mal probiert
und dann nen ipsec verify gemacht mit folgendem output

Code: Alles auswählen

Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path                                         [OK]
Linux FreeS/WAN 2.04
Checking for KLIPS support in kernel                                    [OK]
Checking for RSA private key (/etc/ipsec.secrets)                       [FAILED]
ipsec showhostkey: no pubkey line found -- key information old?
Checking that pluto is running                                          [FAILED]
whack: Pluto is not running (no "/var/run/pluto.ctl")
Two or more interfaces found, checking IP forwarding                    [FAILED]
whack: Pluto is not running (no "/var/run/pluto.ctl")
Checking NAT and MASQUERADEing
Checking tun0x200@192.168.1.2:0 from 192.168.1.1/32:0 to 192.168.1.2/32:0      [FAILED]
MASQUERADE from 0.0.0.0/0 to 0.0.0.0/0 kills tunnel 0.0.0.0/0 -> 192.168.1.2/32:0

Opportunistic Encryption DNS checks:
Looking for TXT in forward map: brockzworld                             [MISSING]
brockzworld does not exist, try again
Does the machine have at least one non-private address?                 [FAILED]

irgendwas passt da mit dem tunnel nicht? blos was ?

mistersixt · Beitrag von **mistersixt** » 31.05.2004 10:55:02

Schau mal hier, da gibt es ein Beispiel, wo 2 Rechner, die in einem LAN sind, einen Tunnel aufbauen wollen:

http://www.xinux.de/docs/sicherheit/freeswan/

Ansonsten auch hier ein gutes Schritt-für-Schritt Beispiel:

http://mopoinfo.vpn.uni-freiburg.de/doc ... -linux.php

Gruss, mistersixt.

brockz · Beitrag von **brockz** » 31.05.2004 13:13:17

Ok super das lauft jetzt und schaut jetzt so aus

Tunnel
PC1(192.168.1.1)---->------>-------->PC2(192.168.1.2)

wie müsste ich jetzt vorgehen wenn ich das noch dazufügen wil

Tunnel
PC1(192.168.1.1)---->------>-------->PC2(192.168.1.2)
|
|
|
PC3(192.168.10.1)

realisiert mit einer 2ten Netzwerkarte .Und was muss ich für PC2 Änderungen machen
das PC3 auch PC1 erreichen kann