debianforum.de

ifconfig · Beitrag von **ifconfig** » 03.10.2005 06:20:41

Hallo,

ich habe einen Linksys router, den ich als vpn gateway nutzen möchte. Ich habe auf diesen openwrt drauf gespielt.
Nun habe ich mich über VPN informiert.. aber mit der datei ipsec.conf komme ich nicht zurecht, und mit den certifikaten.

Mein Netz sieht folgendermaßen aus:

............................................................. VPN
.............|=============================================|
Router 1-----------------------Router2---------------internet----------------Client(Linux)
VPN-Gateway.......................IP:192.168.2.1.................................... VPN-gateway
ip:192.168.1.1 .................. wan:dhcp ..............................................ip: modem
openswan...............................................................................................openswan

Falls ihr noch infos über das netzwerk braucht, sagt bitte bescheid.
Router 1 soll als VPN Gateway dienen, so das man sich über Router1 über VPN-IPsec zum Client connecten kann.
Ich habe mich tage lang damit beschäftigt, aber ich komme leider nicht mehr weiter.
Ich habe sogar in diesem forum ne Beispiel einer ipsec.conf gesehen, aber kam damit nicht ganz zurecht,
weil dieser wiederum andere netz hat. Was muss ich in diese ipsec.conf eintragen?
Kann mir bitte jemand behilflich sein, bin langsam am verzweifeln..

mistersixt · Beitrag von **mistersixt** » 03.10.2005 11:45:38

Willkommen im Debian-Forum!

OpenSwan ist leider nicht trivial zu konfigurieren, wobei ja ein VPN-Tunnel, der verschiedene Netze oder Hosts per VPN verbinden soll, natürlich ansich nicht trivial ist. Ich habe aber im Wiki von OpenSwan eine recht gut Beschreibung gefunden:

http://wiki.openswan.org/index.php/Configuring

Ansonste poste mal Ausschnitte Deiner ipsec.conf nach http://nopaste.debianforum.de/ und die Fehlermeldungen, die Du bekommst, dann kann man weiterhelfen.

Gruss, mistersixt.

ifconfig · Beitrag von **ifconfig** » 03.10.2005 17:59:34

Danke

der Link hat mir aber nicht viel geholfen
Ich weiss nicht genau was bzw. welche IP´s
ich in dem ipsec.conf eintragen soll.
Dort steht zwar ip von der linken gateway in left und ip von
rechten gateway rechts usw.. eintragen..
aber was ist mit den anderen einstellungen?

MfG
ifconfig

mistersixt · Beitrag von **mistersixt** » 04.10.2005 11:29:15

Eigentlich steht da alles sehr genau beschrieben. Hast Du vielleicht Jemanden an der Hand, der sich damit auskennt und Dir vor Ort Schritt für Schritt erklären kann? Wenn man jedes Detail hier im Forum wissen möchte, dann macht man ein riesiges Fass auf - und wahrscheinlich dauert Dir das einfach zu lange.

Wenn Du konkrete Informationen geben könntest, zum Beispiel wie momentan Deine beiden ipsec.conf aussehen und welche Fehlermeldungen Du siehst, dann ginge das auch einfacher.

Gruss, mistersixt.

ifconfig · Beitrag von **ifconfig** » 05.10.2005 01:07:32

Hallo mistersixt,

zunächst möchte ich mich für die hilfe bedanken.
Ich kenne leider niemanden der sich mit so etwas auskennt.
In meinen beiden IPsec.conf dateien steht nicht viel drin,
da ich gerade versuche zuverstehen, was ich da genau rein schreiben soll.
Ich lese und lese, immer wieder kommt etwas neues, pluto, racoon usw.

An dem router(router1) wo ich openwrt installiert habe, sieht die ipsec.conf anders aus
als auf dem router(Linux-client) der ganz rechts ist.
Nicht das ich da was unterschiedlich eingetippt hätte, dies war schon so.

Meine frage wäre, reicht es zunächst eine verbindung aufzubauen,
wenn ich nur den unteren teil der ipsec.conf einzustellen..??? Ohne CA´s
Ich meine dort wo: Sample vpn connection steht,
wo man left, leftsubnet und leftnexthop einstellen muss, natürlich auf beide ipsec.conf´s
meine mail ist linux_ifconfig@web, könntest du bitte auf diese antworten,
weil ich noch andere fragen hatte.

Gruss
ifconfig

mistersixt · Beitrag von **mistersixt** » 05.10.2005 09:34:00

Schau mal hier:

http://nopaste.debianforum.de/1261

Habe mal eine Beispiel-Config erstellt. Einmal für einen Road-Warrior, der sich nur selbst in ein Netz einklinken will, und einmal ein Gateway, das ein ganzes Netz anbinden will.

Natürlich musst Du noch Zertifikate erstellen für beide Seiten und einen entsprechende Eintrag in die /etc/ipsec.secrets machen.

Gruss, mistersixt.

ifconfig · Beitrag von **ifconfig** » 06.10.2005 00:33:41

wie kommst du auf die io-cert.pem
muss ich die selbst erstellen, ich informiere mich erst
mal drüber was es ist.
ich habe gemerkt, dass bei meinem router1 die ipsec.secrets fehlt,
diese datei muss doch für beide gateways da sein, oder?
langsam bekomme ich einen einblick, wie das alles ist,
wozu welche variable gut ist, usw.
Ich muss nur noch beim router1 alles neu installieren (openswan),
damit ich die datei ipsec.secrets irgendwie wieder bekomme..

ich habe versucht ein CA zuerstellen, mit dem
befehl openssl..
wenn ich den befehl "showhostkey" eingebe, einmal für left und einmal für
right.für beide hat es den selben namen, ist das so richtig?

Gruss
ifconfig

ifconfig · Beitrag von **ifconfig** » 12.10.2005 21:02:55

Hallo mistersixt,

habe mich noch mehr über zertifikate informiert.
Habe aber noch ein kleines problem,
wie bekomme ich den rsa key in das ipsec.conf?
Muss ich dies einfach markieren und in das ipsec.conf kopieren?
Ich habe aber irgendwo gelesen, dass es mit dem befehl :
ipsec showhostkey --left >hostkey.txt geht, aber dieser funktioniert nicht
so ganz richtig.

Gruss
ifconfig

mistersixt · Beitrag von **mistersixt** » 13.10.2005 08:10:03

CA und RSA-Keys sind zwei verschiedene Möglichkeiten für die VPN-Gateways, sich gegenseitig zu autentisieren. Jetzt bist Du ja offensichtlich irgendwie am RSA, da sieht das wie folgt aus:

In der Datei /etc/ipsec.secrets stehen der private und der public Teil des RSA-Schlüssel inklusive Exponenten etc. Du kannst Dir einen neuen Schlüssel gegenieren lassen mit ff. Befehl:

Code: Alles auswählen

ipsec rsasigkey 2048 > /tmp/mein-key.txt

Das machst Du auf beiden VPN-Gateways und trägst auf beiden auch einen PSK (Privat Shared Key) ein. Hier siehst Du mal eine Beispieldatei, wo ich einen 1024-Bitschlüssel mit obigem Befehl und eine PSK für die beiden IP-Adressen der beiden Gateways erstellt habe. Der PSK muss in beiden ipsec.secrets natürlich gleich sein.

Nun trägt man den pubkey-Anteil dieses eben erstellten RSA-Schlüssels (der mit dem # am Anfang) in die /etc/ipsec.conf der eigenen und der anderen VPN-Seite - und anders herum genauso! Das könnte im beispielsweise so aussehen:

Code: Alles auswählen

conn Firma1-Firma2
        left=123.200.123.200
        leftsubnet=192.168.7.0/24
        leftnexthop=123.200.123.1
        right=80.60.80.60
        rightnexthop=80.60.80.61
        rightsubnet=192.168.10.0/24
#
        compress=yes
        disablearrivalcheck=yes
        authby=rsasig
        leftid=@id-firma1.com
        rightid=@id-firma2.com
#
        leftrsasigkey=0sAQO9/NULWT... (Rest abgeschnitten)
        rightrsasigkey=0sB2OfHMXk... (siehe oben)
#

"Left" und "Right" müssen auf beiden Seiten immer synchron sein!

Gruss, mistersixt.

ifconfig · Beitrag von **ifconfig** » 13.10.2005 19:17:57

hallo,

Habe mit dem befehl ipsec rsasikey ..eine datei mein-key.txt erstellt, hat
wunderbar funktioniert, wollte nun public key von dort aus in das ipsec.secrets
kopieren, dabei wird aber der hintere teil in der ipsec.conf wie bei dir
nicht abgeschnitten. Ist das nicht gut? Weil ich auch andere bespiele von ipsec.conf
dateien gesehen habe und bei dene war dies auch immer abgeschnitten.
Liegt es vielleicht dadran, dass ich dies manuell rein kopiert habe?

Meine nächste frage wäre: wie komme ich auf die leftid und rightid?
habe gelesen mit hostname -f befehl, aber dies funktioniert nicht auf dem router..
Und habe noch etwas mit
AU
State or Province
Locality name
usw..
und Email Adresse:
geht dies vielleicht so, welche variante sollte ich nutzen?Dies war glaub ich aber beim erstellen eines zertifikates.

Danke

Gruss
ifconfig

mistersixt · Beitrag von **mistersixt** » 13.10.2005 19:46:26

Genau so, wie der public-Key in der ipsec.secrets steht, muss er auch in die ipsec.conf rein.

Die left- und rightid sind quasi willkürliche IDs, kannst Du hundkatzemaus nehmen oder was auch immer, es muss nur auf beiden VPN-Gateways gleich sein.

gruss, mistersixt.

ifconfig · Beitrag von **ifconfig** » 15.10.2005 01:09:19

Hallo mistersixt,

ich konnte (für kurze Zeit) vom linken router den rechten router an pingen aber nicht umgekehrt.
Nach paar studen ging dies aber auch nicht mehr. Wenn ich ein ping starte, passiert garnicht und er sagt auch nicht mal das das netzwerk nicht erreichbar sei.
Dies ist meine ipsec.conf:

config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none # plutodebug="control parsing"

conn Gate.com
# Left security gateway, subnet behind it, next hop toward right
left=80.x.x.x
leftsubnet=192.168.1.0
leftnexthop=192.168.2.1 //stimmt dies hier so ?? Habe gelesen: wenn noch .........................................................ein anderer router dazwischen ist muss dies so sein..
leftrsasigkey=yyyyy.....
leftid=@Gate1.com
#
# Right security gateway, subnet behind it, next hop toward left
right=x.x.x.x
rightsubnet=192.168.3.0
rightrsasigkey=xxxxx....
rightid=@Gate2.com

auto=start

Wie kann ich heraus bekommen wo ich einen Fehler gemacht habe(gibt es etwas protokoll mäßiges, was ich mir anschauen kann?)
oder ist ein Fehler in der ipsec.conf. Danke dir..

Gruss
ifconfig

ifconfig · Beitrag von **ifconfig** » 15.10.2005 01:53:45

Hallo mistersixt,

es lag an der firewall, nun kann ich wieder vom linken router den rechten router
anpingen aber nicht umgekehrt. Ich wollte jetzt den port 500 vom linksys router
freischalten, mit den befehlen:
iptables -t nat -A prerouting_rule -i $WAN -p udp --dport 500 -j ACCEPT
iptables .........-A input_rule -i $WAN -p udp --dport 500 -j ACCEPT

ich kann aber keine änderungen an der Datei S45firewall vornehmen,
habe es auch mit: chmod 777, versucht
Fehlermeldung : Read-only filesystem
Wie kann ich dies ändern?

Gruss
ifconfig

mistersixt · Beitrag von **mistersixt** » 17.10.2005 09:55:18

Tipp mal "mount" ein, was siehst Du?

Gruss, mistersixt.

ifconfig · Beitrag von **ifconfig** » 17.10.2005 18:35:31

hier die "mount" Ausgabe:

/dev/root on /rom type squashfs (ro)
none on /rom/dev type devfs (rw)
/dev/mtdblock/4 on / type jffs2 (rw)
none on /proc type proc (rw)
none on /dev type devfs (rw)
none on /tmp type tmpfs (rw,nosuid,nodev)
none on /dev/pts type devpts (rw)

gruss
ifconfig

ifconfig · Beitrag von **ifconfig** » 17.10.2005 19:32:03

Hallo mistersixt,

habe das problem gelöst, musste lange suchen aber jetzt gehts.
Diese Dateien kann man nicht einfach ändern, habs so hinbekommen:
im verzeichnis etc/init.d/
rm S45firewall
cp -p /rom/etc/init.d/S45firewall .
vi S45firewall

dann gings.
das mit dem mounten hat mich auf die idee gebracht..Danke

gruss
ifconfig

ifconfig · Beitrag von **ifconfig** » 21.10.2005 18:41:58

Hallo mistersixt,

ich wollte nun das ganze mit Zertificate darstellen.
Auf den rechten VPN Gateway habe ich erfolgreich ein zertifikat
erstellen können, es kamen auch keine fehlermeldung.
Nachdem ich das Zertifikat erstellt habe steht in der index.txt
C=DE usw. und in der serial steht 02, stimmt das so?
Da keine fehler aufgetaucht sind, denke ich mal das es so stimmt, oder?
Der rechte Gateway dient als CA..
Muss ich alle einstellungen die ich auf dem rechten gateway gemacht habe
auch auf dem linken gateway machen..?
Ich habe gelesen, ich müsse da eine Datei von dem rechten in den linken
Gateway kopieren und damit weiter arbeiten, ist da was dran?

Gruss
ifconfig