WLAN mit IPSec absichern

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
schwen
Beiträge: 26
Registriert: 25.07.2004 15:11:49
Wohnort: Essen

WLAN mit IPSec absichern

Beitrag von schwen » 11.09.2004 14:45:59

Hallo,

folgendes Szenario:

Meine PCI-WLAN-Karte läuft leider nicht mit WEP (ndiswrapper+acx111), ausserdem ist WEP ja eh nicht das Sicherste, also dachte ich mir dass WLAN per IPSec abzusichern.

Linux-Router (woody, kernel 2.6.8.):

192.168.0.1: --> eth0, normales LAN 192.168.0.0/24 (Windows Clients)
192.168.1.1 --> wlan0, WLAN 192.168.1.0/24 im Ad-hoc modus

ppp0/eth1 PPPoE


Die Verbindung vo Router 192.168.1.1 zum (einzigen) Client (notebook) 192.168.1.2 möchte ich nun absichern.

Auf dem Linuxrouter hab ich bis jetzt folgende ipsec.conf

Code: Alles auswählen

#!/usr/sbin/setkey -f


#Configuration for 192.168.1.

# Flush the SAD and SPD
flush;
spdflush;

# Attention: Use this keys only for testing purposes!
# Generate your own keys!

# AH SAs using 128 bit long keys
add 192.168.1.1 192.168.1.2 ah 0x200 -A hmac-md5 \
0xc0291ff014dccdd03874d9e8e4cdf3e6;

add 192.168.1.1 192.168.1.2 ah 0x300 -A hmac-md5 \
0x96358c90783bbfa3d7b196ceabe0536b;

# ESP SAs using 192 bit long keys (168 + 24 parity)
add 192.168.1.1 192.168.1.2 esp 0x201 -E 3des-cbc \
0x7aeaca3f87d060a12f4a4487d5a5c3355920fae69a96c831;

add 192.168.1.2 192.168.1.1 esp 0x301 -E 3des-cbc \
0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df;

# Security policies
spdadd 192.168.1.1 192.168.1.2 any -P out ipsec
           esp/transport//require
           ah/transport//require;

spdadd 192.168.1.1 192.168.1.2 any -P in ipsec
           esp/transport//require
           ah/transport//require;
Ist das soweit richtig? Wenn nein was ist falsch, und wenn ja:

wie konfiguriere ich Windows (XP) für die Benutzung von IPSec?


PS: die keys änder ich natürlich noch

PPS: Die einzigen HOW TO's die ich bisher gefunden habe beziehen sich alle auf Linux <--> Linux IPSec verbindungen :-(

schwen
Beiträge: 26
Registriert: 25.07.2004 15:11:49
Wohnort: Essen

Beitrag von schwen » 11.09.2004 15:26:19

hm, ich hab inzwischen rausgefunden das ich den tunnel-mode benutzen muss, damit alle verbindungen über den router verschlüsselt werden, demnach sieht meine config jetzt so aus:

Code: Alles auswählen

#Flush the SAD and SPD
flush;
spdflush;

# ESP SAs doing encryption using 192 bit long keys (168 + 24 parity)
# and authentication using 128 bit long keys

add 192.168.1.1 192.168.1.2 esp 0x1001 -m tunnel -E 3des-cbc 0x7aeaca3f87d060a12
f4a4487d5a5c3355920fae69a96c831 -A hmac-md5 0xc0291ff014dccdd03874d9e8e4cdf3e6;
add 192.168.1.2 192.168.1.1 esp 0x1002 -m tunnel -E 3des-cbc 0xf6ddb555acfd9d77b
03ea3843f2653255afe8eb5573965df -A hmac-md5 0x96358c90783bbfa3d7b196ceabe0536b;

# Security policies

spdadd 0.0.0.0/24 192.168.1.1 any -P in ipsec
           esp/tunnel/192.168.1.1-192.168.1.2/require;

spdadd 192.168.1.1 0.0.0.0/24 any -P out ipsec
           esp/tunnel/192.168.1.2-192.168.1.1/require;

was ich beim windows-client machen muss weiss ich leider immer nohc nicht...............

arnsic
Beiträge: 299
Registriert: 29.07.2003 09:03:52

Beitrag von arnsic » 12.09.2004 13:58:58

Auf Windows-Seite musst Du den IPSEC-Schlüssel über die MMC importieren (einmalig). Dann den Tunnel aufbauen, wenn Du IPSEC benutzen willst.

schwen
Beiträge: 26
Registriert: 25.07.2004 15:11:49
Wohnort: Essen

Beitrag von schwen » 12.09.2004 14:42:57

jau habs gefunden, war aber mal wieder gut versteckt...

Antworten