IPsec VPN mit Openswan
Getestet unter Debian 6. VPN Partner ist eine Astaro V8 bzw. eine Sophos UTM V9.
Erklärung
Router 1 eth0 192.168.201.10 (Intern) eth1 192.168.0.45 (Extern)
Router 2 eth0 192.168.202.10 (Intern) eth1 192.168.0.46 (Extern)
←- eth0 Router1 eth1 –> ——– Internet —— ←- eth1 Router2 eth0 –>|
OpenSwan auf beiden Nodes installieren:
apt-get install openswan
(auf alle Fragen mit NO antworten)
Keys auf beiden Nodes Generieren
Dies kann leider bis zu 30 Minuten dauern:
ipsec newhostkey --verbose --output /tmp/ipsec.secrets --bits 2048 cp /tmp/ipsec.secrets /etc/ipsec.secrets
Wärend die Keys erstellen werden hier noch ein paar Grund einstellungen
vim /etc/sysctl.conf net.ipv4.ip_forward=1 net.ipv4.conf.all.send_redirects=0 net.ipv4.conf.all.accept_redirects=0 sysctl -p /etc/sysctl.conf
Ipsec Config auf Node1 erstellen
Dazu müssen wir aber die RSA-Keys wissen. Diese lassen wir uns so anzeigen. Router 1:
ipsec showhostkey --left
Router 2:
ipsec showhostkey --right
vim /etc/ipsec.conf
version 2.0
config setup
protostack=auto
nat_traversal=yes
oe=off
conn test
left=192.168.0.45 # Internet IP Router 1
leftsubnet=192.168.201.0/24 # Internes Netz Router 1
leftsourceip=192.168.201.10 # Source IP vom Router 1
leftrsasigkey=Key_von_voher_hier_einfuegen
right=192.168.0.46 # Intetnet IP Router 2
rightsubnet=192.168.202.0/24 # Internes Netz Router 2
rightsourceip=192.168.202.10 # Source IP vom Router 2
rightrsasigkey=Key_von_voher_hier_einfuegen
ike=aes256
phase2=esp
phase2alg=aes256
auto=add # Tunnel wird hingefuegt aber nicht gestartet
#auto=start # Tunnel wird beim start vom ipsec automatisch gestartet
Diese Config einfach auf den Router 2 kopieren Danach kann man ipsec durchstarten auf beiden Routern.
/etc/init.d/ipsec restart
Wenn man auto=add gewaehlt hat startet man jetzt so den Tunnel
ipsec auto --up test
Danach sollte bei
/etc/init.d/ipsec status
ein “1 tunnels up” zu finden sein. Ein ping von Router1 auf 192.168.202.10 sollte jetzt möglich sein. Man sieht mit
route -n
auch eine weitere Route.