Host2Host-VPN mit Strongswan

Nachdem mich das Einarbeiten in Strongswan fürchterlich Nerven gekostet hat (warum auch immer), hier die kurze Übersicht, wie man ein Host2Host-VPN aufbaut.

Zertfikate auf beiden Rechnern erstellen (openssl oder bei Debian automatisch durch apt …)
Zertfikate auf beiden Rechnern vorhalten (per SCP rüberkopieren)
auf beiden Seiten /etc/ipsec,conf konfigurieren (eigentlich reicht es, sie einmal zu erstellen und dann zu kopieren, strongswan ist im Gegensatz zu mir intelligent genug, damit klarzukommen)
Hier eine fertige ipsec.conf

# ipsec.conf - strongSwan IPsec configuration file
# basic configuration
config setup
# plutodebug=all
charonstart=yes
plutostart=yes
# Add connections here.
conn test
left=192.168.0.254
leftcert=/etc/ipsec.d/certs/H5001601Cert.pem
rightcert=/etc/ipsec.d/certs/linuxerCert.pem
right=192.168.0.4
auto=start

mit

ipsec start

und

ipsec up test

sollte die Verbindung aufgebaut werden und sich z.B. per

Starting strongSwan IPsec 2.8ipsec up test
002 "test" #5: initiating Quick Mode RSASIG+ENCRYPT+TUNNEL+PFS+UP {using isakmp#2}
112 "test" #5: STATE_QUICK_I1: initiate
002 "test" #5: sent QI2, IPsec SA established {ESP=>0x2ac0b396 0x2ac0b396 <0x5c7f99f1}

als erfolgreich zurückmelden.
Per tcpdump sieht man dann die ESP-Pakete:

14:19:58.709773 IP linuxer.local > tux: ESP(spi=0x5c7f99f1,seq=0x4f), length 84
14:19:59.708823 IP tux > linuxer.local: ESP(spi=0x2ac0b396,seq=0x3d), length 116

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s