====== IPsec VPN mit Openswan ======


Getestet unter Debian 6. VPN Partner ist eine Astaro V8 bzw. eine Sophos UTM V9.

**Erklärung**

Router 1
eth0 192.168.201.10 (Intern)
eth1 192.168.0.45 (Extern)

Router 2
eth0 192.168.202.10 (Intern)
eth1 192.168.0.46 (Extern)

<-- eth0 Router1 eth1 --> -------- Internet ------ <-- eth1 Router2 eth0 -->|

OpenSwan auf beiden Nodes installieren:
<code>
apt-get install openswan
</code>

(auf alle Fragen mit NO antworten)

----

**Keys auf beiden Nodes Generieren** 

Dies kann leider bis zu 30 Minuten dauern:
<code>
ipsec newhostkey --verbose --output /tmp/ipsec.secrets --bits 2048
cp /tmp/ipsec.secrets /etc/ipsec.secrets
</code>

----

**Wärend die Keys erstellen werden hier noch ein paar Grund einstellungen**
<code>
vim /etc/sysctl.conf
net.ipv4.ip_forward=1
net.ipv4.conf.all.send_redirects=0
net.ipv4.conf.all.accept_redirects=0
sysctl -p /etc/sysctl.conf
</code>

----

**Ipsec Config auf Node1 erstellen**

Dazu müssen wir aber die RSA-Keys wissen.
Diese lassen wir uns so anzeigen.
Router 1:
<code>
ipsec showhostkey --left
</code>

Router 2:
<code>
ipsec showhostkey --right
</code>

<code>
vim /etc/ipsec.conf
version 2.0
config setup
        protostack=auto
        nat_traversal=yes
        oe=off
      
conn test
        left=192.168.0.45                         # Internet IP Router 1
        leftsubnet=192.168.201.0/24         # Internes Netz Router 1
        leftsourceip=192.168.201.10         # Source IP vom Router 1
        leftrsasigkey=Key_von_voher_hier_einfuegen
        right=192.168.0.46                     # Intetnet IP Router 2
        rightsubnet=192.168.202.0/24      # Internes Netz Router 2
   rightsourceip=192.168.202.10         # Source IP vom Router 2
        rightrsasigkey=Key_von_voher_hier_einfuegen
        ike=aes256
        phase2=esp
        phase2alg=aes256
   auto=add                                  # Tunnel wird hingefuegt aber nicht gestartet
   #auto=start                              # Tunnel wird beim start vom ipsec automatisch gestartet
</code>

Diese Config einfach auf den Router 2 kopieren
Danach kann man ipsec durchstarten auf beiden Routern.
<code>
/etc/init.d/ipsec restart
</code>

Wenn man auto=add gewaehlt hat startet man jetzt so den Tunnel
<code>
ipsec auto --up test
</code>

Danach sollte bei
<code>
/etc/init.d/ipsec status
</code>

ein "1 tunnels up" zu finden sein.
Ein ping von Router1 auf 192.168.202.10 sollte jetzt möglich sein.
Man sieht mit
<code>
route -n
</code>

auch eine weitere Route.