Hauptseite | Über | Online Hilfestellungen | LUG Intern | Impressum | Anmelden

FreeSWAN, strongSwan/openSwan

Inhaltsverzeichnis
1 Überblick
2 Konfiguration

2.1 VPN zwischen 2 Netzwerken mit statischen IP-Adressen

3 Verwaltung

Überblick

FreeSWAN (http://www.freeswan.org/) ist ein VPN-Server, der das IPSec-Protokoll nutzt. Aus ihm gingen dann 2 Weiterentwicklungen (strongSwan (http://strongswan.org/), Openswan (http://openswan.org/) ) hervor, die beide nebeneinander existieren. Die Konfiguration ist fast identisch. Jedoch gibt es zusätzliche Fähigkeiten bei dem einen und bei dem anderem Server. Z.B. ist Smartcard-Unterstützung nur bei Openswan verfügbar.

Konfiguration

Die Konfiguration erfolgt über 2 Konfigurationsdateien: 

/etc/ipsec.conf

Dies ist die Hauptkonfigurationsdatei, wo die einzelnen VPN-Verbindungen hinterlegt werden. 

/etc/ipsec.secrets

Hier werden Paßwörter o.a. hinterlegt.

VPN zwischen 2 Netzwerken mit statischen IP-Adressen

Der Server 1 hat die externe IP-Adresse 192.168.10.103 und ein lokales Netz mit IP-Bereich 192.168.3.0/24. Server 2 hat die externe IP-Adresse 192.168.10.222 und ein lokales Netz mit IP-Bereich 192.168.2.0/24. Das gemeinsame Paßwort lautet geheim.

  • Server 1 
# /etc/ipsec.conf
version 2.0

config setup
	interfaces=%defaultroute
	klipsdebug=none
	plutodebug="none"
	uniqueids=no
	overridemtu=1420
	nat_traversal=no
	keep_alive=60
	crlcheckinterval=0
	strictcrlpolicy=no

conn %default
	rekeymargin=9m
	rekeyfuzz=100%
	keyingtries=0
	dpddelay=30
	dpdtimeout=120
	dpdaction=restart
	
conn vpn1
	right="192.168.10.222"
	keyingtries="3"
	esp="3des-sha1"
	authby="secret"
	ikelifetime="7800"
	keyexchange="ike"
	pfsgroup="modp1024"
	pfs="yes"
	leftsubnet="192.168.3.0/24"
	rightsubnet="192.168.2.0/24"
	rightnexthop="192.168.2.100"
	keylife="3600"
	left="192.168.10.103"
	auto="add"
	compress="no"
	ike="3des-sha-modp1024"
	type="tunnel"

# /etc/ipsec.secrets
192.168.10.103 192.168.10.222 : PSK "geheim"
  • Server 2 
# /etc/ipsec.conf
version 2.0

config setup
	interfaces=%defaultroute
	klipsdebug=none
	plutodebug="none"
	uniqueids=no
	overridemtu=1420
	nat_traversal=no
	keep_alive=60
	crlcheckinterval=0
	strictcrlpolicy=no

conn %default
	rekeymargin=9m
	rekeyfuzz=100%
	keyingtries=0
	dpddelay=30
	dpdtimeout=120
	dpdaction=restart
	
conn vpn1
	right="192.168.10.103"
	keyingtries="3"
	esp="3des-sha1"
	authby="secret"
	ikelifetime="7800"
	keyexchange="ike"
	pfsgroup="modp1024"
	pfs="yes"
	rightsubnet="192.168.3.0/24"
	leftsubnet="192.168.2.0/24"
	keylife="3600"
	right="192.168.10.103"
	auto="add"
	compress="no"
	ike="3des-sha-modp1024"
	type="tunnel"

# /etc/ipsec.secrets
192.168.10.103 192.168.10.222 : PSK "geheim"

Verwaltung

  • Server starten: 
ipsec setup start
  • Server stoppen: 
ipsec setup stop
  • Verbindung starten: 
ipsec whack --name <vpnname> --initiate
  • Verbindung löschen: 
ipsec whack --name <vpnname> --delete
  • Verbindungsstatus: 
ipsec whack --status

Von "http://www.lug-wr.de/wiki/index.php/FreeSWAN%2C_strongSwan/openSwan"

Diese Seite wurde bisher 7680 mal abgerufen. Diese Seite wurde zuletzt geändert um 11:09, 21. Aug 2009. Inhalt ist verfügbar unter der GNU Free Documentation License 1.2.

Impressum © 2005 - 2012 GNU FDL