http://howto.cactus.de/index.php?action=history&feed=atom&title=OpenSwan_VPN
OpenSwan VPN - Revision history
2026-05-30T19:28:58Z
Revision history for this page on the wiki
MediaWiki 1.39.7
http://howto.cactus.de/index.php?title=OpenSwan_VPN&diff=276&oldid=prev
Tim: /* Single-Homed-Lösung einfach zu realisieren? */
2017-10-10T09:23:29Z
<p><span dir="auto"><span class="autocomment">Single-Homed-Lösung einfach zu realisieren?</span></span></p>
<table style="background-color: #fff; color: #202122;" data-mw="interface">
<col class="diff-marker" />
<col class="diff-content" />
<col class="diff-marker" />
<col class="diff-content" />
<tr class="diff-title" lang="en">
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">← Older revision</td>
<td colspan="2" style="background-color: #fff; color: #202122; text-align: center;">Revision as of 09:23, 10 October 2017</td>
</tr><tr>
<td colspan="2" class="diff-lineno">Line 404:</td>
<td colspan="2" class="diff-lineno">Line 404:</td>
</tr>
<tr>
<td class="diff-marker"></td>
<td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>===== Single-Homed-Lösung einfach zu realisieren? =====</div></td>
<td class="diff-marker"></td>
<td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>===== Single-Homed-Lösung einfach zu realisieren? =====</div></td>
</tr>
<tr>
<td class="diff-marker"></td>
<td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br /></td>
<td class="diff-marker"></td>
<td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br /></td>
</tr>
<tr>
<td class="diff-marker" data-marker="−"></td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><div>Entgegen der Aussage unter<del style="font-weight: bold; text-decoration: none;"> Laut</del> http://lists.virus.org/users-openswan-0504/msg00028.html:</div></td>
<td class="diff-marker" data-marker="+"></td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;"><div>Entgegen der Aussage unter http://lists.virus.org/users-openswan-0504/msg00028.html:</div></td>
</tr>
<tr>
<td class="diff-marker"></td>
<td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>"A single-homed VPN server (i.e. with only one interface) is normally</div></td>
<td class="diff-marker"></td>
<td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>"A single-homed VPN server (i.e. with only one interface) is normally</div></td>
</tr>
<tr>
<td class="diff-marker"></td>
<td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>asking for trouble", konnte die beschriebene Lösung erfolgreich aufgebaut werden.</div></td>
<td class="diff-marker"></td>
<td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>asking for trouble", konnte die beschriebene Lösung erfolgreich aufgebaut werden.</div></td>
</tr>
<tr>
<td class="diff-marker" data-marker="−"></td>
<td style="color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;"><br /></td>
<td colspan="2" class="diff-empty diff-side-added"></td>
</tr>
<tr>
<td class="diff-marker"></td>
<td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br /></td>
<td class="diff-marker"></td>
<td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><br /></td>
</tr>
<tr>
<td class="diff-marker"></td>
<td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>===== Offene Punkte =====</div></td>
<td class="diff-marker"></td>
<td style="background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;"><div>===== Offene Punkte =====</div></td>
</tr>
</table>
Tim
http://howto.cactus.de/index.php?title=OpenSwan_VPN&diff=3&oldid=prev
192.168.100.90: Die Seite wurde neu angelegt: „=== Allgemeine Informationen === Der folgende Text versteht sich als Anleitung für diejenigen, die eine sichere VPN-Lösung mit einfachen, kostengünstigen M…“
2013-08-20T15:00:50Z
<p>Die Seite wurde neu angelegt: „=== Allgemeine Informationen === Der folgende Text versteht sich als Anleitung für diejenigen, die eine sichere VPN-Lösung mit einfachen, kostengünstigen M…“</p>
<p><b>New page</b></p><div>=== Allgemeine Informationen ===<br />
<br />
Der folgende Text versteht sich als Anleitung für diejenigen, die eine sichere VPN-Lösung mit einfachen, kostengünstigen Mitteln aufbauen wollen.<br />
<br />
Die hier beschriebenen Tests wurden größtenteils in 2009 durchgeführt.<br />
<br />
Für das erfolgreiche Nachstellen der VPN-Verbindungen sollten grundlegende Vorkenntnisse sowohl im Netzwerk-, im Linux- als auch im IPSec-VPN-Bereich vorhanden sein.<br />
<br />
==== NW-Übersicht ====<br />
<br />
Wir haben uns für folgende Topologie entschieden:<br />
<br />
<pre><br />
<br />
VPN-GW <br />
.104 | <br />
| <br />
199.199.199.96/28 | |<br />
| |<br />
.97 | | <br />
VPN-client---Internet------------Firewall--------------------|-- <br />
| <br />
|<br />
192.168.1.0/24<br />
(internal corporate LAN)<br />
</pre><br />
<br />
Das zentrale IPSec VPN-Gateway hat die fiktive Public-IP 199.199.199.104 und besitzt nur ein Netzwerkinteface (single-homed).<br />
<br />
==== Kommunikationsbeziehungen ====<br />
<br />
<br />
<pre><br />
<br />
==========IPSec-Tunnel======== VPN-GW <br />
|| .104 | <br />
|| | <br />
|| 199.199.199.96/28 | |<br />
|| | |<br />
|| .97 | | <br />
VPN-client---Internet------------Firewall--------------------|-- <br />
| <br />
|<br />
192.168.1.0/24<br />
(internal corporate LAN)<br />
</pre><br />
<br />
<br />
Auf Firewall-Systemen, die zwischen VPN-Client und VPN-Gateway liegen, müssen folgende Ports freigeschaltet werden:<br />
* IKE 500/udp<br />
* ESP 50/ip (ESP-Verkehr ohne NAT)<br />
* 4500/udp (ESP-Verkehr mit NAT: NAT-Traversal, falls die ESP-Pakete genattet werden müssen)<br />
<br />
==== VPN-Gateway Server Beschreibung ====<br />
<br />
* Server-Typ: Standard Linux Server (hier Debian etch)<br />
* IP: 199.199.199.104<br />
* Kernel: 2.6.18, ältere Versionen wurden nicht getestet<br />
VPN-Gateway:~# uname -a<br />
Linux VPN-Gateway 2.6.18-4-686 #1 SMP Wed May 9 23:03:12 UTC 2007 i686 GNU/Linux<br />
<br />
=== Grundinstallation und Konfiguration ===<br />
<br />
==== Software Installation ====<br />
<br />
Die Installation des Openswan Pakets erfolgt z.B. unter Debian/Ubuntu mittels<br />
aptitude install openswan<br />
<br />
Status nach erfolgter Installation<br />
VPN-Gateway:~# dpkg -l | grep openswan<br />
ii openswan 2.4.6+dfsg.2-1.1 IPSEC utilities for Openswan<br />
<br />
==== Kernel Parameter anpassen ====<br />
Folgende Kernel-Parameter müssen auf dem VPN-Gateway (bootfest) gesetzt werden (Quelle: http://www.ducea.com/2006/08/01/how-to-enable-ip-forwarding-in-linux/):<br />
<br />
sudo vi /etc/sysctl.conf<br />
<pre><br />
net.ipv4.ip_forward=1<br />
net.ipv4.conf.all.send_redirects=0<br />
net.ipv4.conf.all.accept_redirects=0<br />
</pre><br />
<br />
Anschließend die neuen Werte aktivieren:<br />
sudo sysctl -p /etc/sysctl.conf<br />
<br />
==== Key Handling ====<br />
<br />
===== Key generieren =====<br />
sudo ipsec newhostkey --output - --verbose > /tmp/filename-rsa<br />
<br />
Dieser Key muss in die Datei /etc/ipsec.secrets kopiert werden. <br />
<br />
===== Key anzeigen =====<br />
sudo ipsec showhostkey --right<br />
<br />
=== Konfiguration in /etc/ipsec.conf ===<br />
<br />
Um sicherzustellen, dass jeweils die gewünschten Kommunikationspartner via VPN miteinander kommunizieren, bietet IPSec verschiedene Authentisierungsmethoden.<br />
<br />
Davon sind in OpenSwan die folgenden implementiert:<br />
* Preshared Key<br />
* RSA<br />
* Zertifikat<br />
<br />
Im Rahmen dieser Anleitung beschränken wir uns auf die beiden letzen Authentisierungsarten.<br />
<br />
==== RSA Authentisierung ====<br />
===== Konfiguration auf VPN-GW-Seite =====<br />
<br />
sudo vi /etc/ipsec.conf<br />
<pre><br />
version 2.0 # conforms to second version of ipsec.conf specification<br />
<br />
# basic configuration<br />
config setup<br />
nat_traversal=yes # NAT-TRAVERSAL support, see README.NAT-Traversal<br />
virtual_private=%v4:10.0.0.0/8<br />
nhelpers=0 # enable this if you see "failed to find any available worker"<br />
<br />
conn %default<br />
left=199.199.199.104 # Gateway's information<br />
leftid=@vpn-gw.cactus.de<br />
leftnexthop=%defaultroute # correct in many situations<br />
leftrsasigkey=xxx<br />
right=%any # Wildcard: we don't know the roadwarrior's IP<br />
auto=add # authorizes but doesn't start this connection at startup<br />
<br />
conn roadwarrior_2_cactus_office<br />
rightid=@roadwarrior.cactus.de<br />
rightrsasigkey=xxx<br />
rightsubnet=vhost:%priv,%no<br />
leftsubnet=192.168.1.0/24<br />
<br />
include /etc/ipsec.d/examples/no_oe.conf #Disable Opportunistic Encryption<br />
</pre><br />
<br />
===== Konfiguration auf Client (Road Warrior) Seite =====<br />
<br />
* die Ausgabe in die Config wechselweise eintragen<br />
sudo vi /etc/ipsec.conf<br />
<br />
<pre><br />
version 2.0 # conforms to second version of ipsec.conf specification<br />
<br />
# basic configuration<br />
config setup<br />
plutodebug=control<br />
nat_traversal=yes # NAT-TRAVERSAL support, see README.NAT-Traversal<br />
virtual_private=%v4:10.0.0.0/8<br />
nhelpers=0 # enable this if you see "failed to find any available worker"<br />
<br />
conn %default<br />
left=%defaultroute<br />
leftcert=roadwarrior-vpn.crt<br />
leftrsasigkey=%cert<br />
leftid="CN=roadwarrior-vpn, C=de, L=Darmstadt, ST=Hessen, O=Cactus, OU=Cactus-IT, E=roadwarrior-account@cactus.de"<br />
right=199.199.199.104 # Gateway IP<br />
rightid="CN=vpn-gw, C=de, L=Darmstadt, ST=Hessen, O=Cactus, OU=Cactus-IT, E=admin-account@cactus.de"<br />
auto=add # authorizes but doesn't start this connection at startup<br />
<br />
conn roadwarrior_2_cactus_office<br />
leftsourceip=192.168.2.67 # set fixed source ip for vpn client (allows easier routing and safer firewall settings)<br />
leftsubnet=192.168.2.67/32<br />
rightsubnet=192.168.1.0/24<br />
<br />
include /etc/ipsec.d/examples/no_oe.conf #Disable Opportunistic Encryption<br />
</pre><br />
<br />
==== X.509 Authentifizierung ====<br />
===== Konfiguration auf VPN-GW-Seite =====<br />
Requirements<br />
* CA-Cert (Format .der oder .pem) in /etc/ipsec.d/cacerts<br />
* Gateway-Cert (Format .der oder .pem) in /etc/ipsec.d/certs<br />
* Gateway-Cert-RSA-Key in /etc/ipsec.d/private<br />
<br />
sudo vi /etc/ipsec.conf<br />
<pre><br />
version 2.0 # conforms to second version of ipsec.conf specification<br />
<br />
# basic configuration<br />
config setup<br />
nat_traversal=yes # NAT-TRAVERSAL support, see README.NAT-Traversal<br />
virtual_private=%v4:10.0.0.0/8<br />
nhelpers=0 # enable this if you see "failed to find any available worker"<br />
plutodebug=control<br />
<br />
conn %default<br />
left=199.199.199.104 # Gateway's information<br />
leftid="CN=vpn-gw, C=de, L=Darmstadt, ST=Hessen, O=Cactus, OU=Cactus-IT, E=admin-account@cactus.de"<br />
leftnexthop=%defaultroute # correct in many situations<br />
leftcert=vpn-gw.crt<br />
leftrsasigkey=%cert<br />
right=%any # Wildcard: we don't know the laptop's IP<br />
auto=add # authorizes but doesn't start this connection at startup<br />
<br />
conn roadwarrior_2_cactus_office<br />
rightid="CN=roadwarrior-vpn, C=de, L=Darmstadt, ST=Hessen, O=Cactus, OU=Cactus-IT, E=roadwarrior-account@cactus.de"<br />
rightsubnet=192.168.2.67/32<br />
leftsubnet=192.168.1.0/24<br />
<br />
include /etc/ipsec.d/examples/no_oe.conf #Disable Opportunistic Encryption<br />
</pre><br />
<br />
<br />
sudo vi /etc/ipsec.secrets<br />
<br />
<pre><br />
: RSA vpn-gw.pem<br />
</pre><br />
===== Konfiguration auf Client (Roadwarrior) Seite =====<br />
Requirements<br />
<br />
* CA-Cert (Format .der oder .pem) in /etc/ipsec.d/cacerts<br />
* Client-Cert (Format .der oder .pem) in /etc/ipsec.d/certs<br />
* Client-Cert-RSA-Key in /etc/ipsec.d/private<br />
<br />
<br />
sudo vi /etc/ipsec.conf <br />
<br />
<pre><br />
version 2.0 # conforms to second version of ipsec.conf specification<br />
<br />
# basic configuration<br />
config setup<br />
plutodebug=control<br />
nat_traversal=yes # NAT-TRAVERSAL support, see README.NAT-Traversal<br />
virtual_private=%v4:10.0.0.0/8<br />
nhelpers=0 # enable this if you see "failed to find any available worker"<br />
<br />
conn %default<br />
left=%defaultroute<br />
leftcert=roadwarrior-vpn.crt<br />
leftrsasigkey=%cert<br />
leftid="CN=roadwarrior-vpn"<br />
right=199.199.199.104 # Gateway's information<br />
rightid="CN=vpn-gw, C=de, L=Darmstadt, ST=Hessen, O=Cactus, OU=Cactus-IT, E=admin-account@cactus.de"<br />
auto=add # authorizes but doesn't start this connection at startup<br />
<br />
conn roadwarrior_2_cactus_office<br />
leftsourceip=192.168.2.67 # road warrior uses this ip to communicate thru the tunnel<br />
leftsubnet=192.168.2.67/32<br />
rightsubnet=192.168.1.0/24<br />
<br />
include /etc/ipsec.d/examples/no_oe.conf #Disable Opportunistic Encryption<br />
</pre><br />
<br />
sudo vi /etc/ipsec/ipsec.secrets<br />
<br />
<pre><br />
: RSA roadwarrior-vpn.pem<br />
</pre><br />
<br />
=== Verbindung aufbauen ===<br />
<br />
Auf beiden Seiten VPN starten mit:<br />
/etc/init.d/ipsec start<br />
<br />
Auf dem Client die Verbindung aufbauen mit:<br />
<br />
<pre><br />
tim@acantha:~$ sudo ipsec auto --up acantha<br />
104 "acantha" #1: STATE_MAIN_I1: initiate<br />
003 "acantha" #1: ignoring unknown Vendor ID payload [4f456c4c4f5d5264574e5244]<br />
003 "acantha" #1: received Vendor ID payload [Dead Peer Detection]<br />
003 "acantha" #1: received Vendor ID payload [RFC 3947] method set to=109 <br />
106 "acantha" #1: STATE_MAIN_I2: sent MI2, expecting MR2<br />
003 "acantha" #1: NAT-Traversal: Result using RFC 3947 (NAT-Traversal): no NAT detected<br />
108 "acantha" #1: STATE_MAIN_I3: sent MI3, expecting MR3<br />
004 "acantha" #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_RSA_SIG cipher=oakley_3des_cbc_192 prf=oakley_md5 group=modp1536}<br />
117 "acantha" #2: STATE_QUICK_I1: initiate<br />
004 "acantha" #2: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0x673c052c <0x8f72d5d9 xfrm=AES_0-HMAC_SHA1 NATD=none DPD=none}<br />
tim@acantha:~$<br />
</pre><br />
<br />
Überprüfung der Verbindung mit:<br />
tim@acantha:~$ sudo /etc/init.d/ipsec status<br />
IPsec running - pluto pid: 9517<br />
pluto pid 9517<br />
1 tunnels up<br />
some eroutes exist<br />
tim@acantha:~$<br />
<br />
=== VPN-Client auf Windows ===<br />
<br />
Nach diversen Tests mit unterschiedlichen VPN-Clients für Windows können wir eine Empfehlung für folgenden kostenlos beziehbaren VPN Client aussprechen:<br />
<br />
Shrew Soft VPN Client Version 2.1.4, Download unter http://www.shrew.net/<br />
<br />
Die Installation ist simpel und wird hier nicht beschrieben.<br />
<br />
Der Client wurde erfolgreich unter Windows XP und Vista getestet. Es gibt auch eine Version für Mac OS.<br />
<br />
==== Konfiguration ====<br />
Die Einstellungen wurden alle auf den Default-Werten belassen.<br />
Lediglich folgende Einstellungen wurden angepasst:<br />
<br />
# General<br />
## Auto Configuration: disabled<br />
## use an existing adapter...<br />
# Name Resolution<br />
## Empfehlung: Disable DNS/WINS<br />
# Authentication<br />
## Method: Mutual RSA<br />
### Local: ASN.1<br />
### Local: Use the subject in the client certificate<br />
### Remote: ASN.1<br />
### Remote: Use the subject in the client certificate<br />
### Creditals: Certificate- and Key-Files<br />
# Phase 1<br />
## Exchange main<br />
## DH Ex: auto<br />
## Chipher Alg: auto<br />
## Hash Alg: auto<br />
# Phase 2<br />
## PFS Ex: DH Group 5<br />
# Policy<br />
## Add remote network e.g. 192.168.1.0 / 255.255.255.0<br />
<br />
<br />
=== VPN Client für Mac OS ===<br />
<br />
Erfolgreich getestet unter Mac OS 10.6.7:<br />
<br />
Freeware IPSecuritas Version 3.4 (http://www.lobotomo.com)<br />
<br />
<br />
Es folgt ein erfolgreich getestetes Konfigurationsbeispiel:<br />
<br />
Generell<br />
Firewall-Adresse: <IP des OpenSwan Servers><br />
Modus Lokaler Endpunkt: Host - <Host-IP für den Tunnel> <br />
Modus Entferntere Endpunkt: Netzwerk - <Remote Netzwerk und Maske in Bit-Notation><br />
<br />
Phase 1<br />
Gültigkeit 86400 Sekunden<br />
DH Gruppe 1024 (2)<br />
Verschlüsselung AES 192<br />
Authentifikation SHA-1<br />
Exchange Mode Main<br />
Proposal Check Obey<br />
Nonce-Länge 16<br />
<br />
Phase 2<br />
Gültigkeit 3600 Sekunden<br />
PFS Gruppe 1024 (2)<br />
Verschlüsselung AES 256 & AES 192<br />
Authentifikation HMAC MD5, HMAC SHA-1, HMAC SHA-256, HMAC SHA-384, HMAC-512<br />
<br />
ID<br />
Lokale Identifikation Zertifikat<br />
Entfernte Identifikation Zertifikat<br />
Authentifikationsmethode Zertifikate<br />
Lokales Zertifikat <Importiertes Zertifikat> (inklusive Private Key Anteil!)<br />
Entferntes Zertifikat CA prüfen (hierzu muss das CA-Zertifikat zuvor importiert werden)<br />
<br />
DNS (optional bei Bedarf)<br />
Domain-spezifische DNS Server aktivieren<br />
Domains <Domain> (ohne führenden Punkt) für Remote Netzwerk<br />
Name Server Adressen <DNS Server Adresse(n)><br />
<br />
Optionen<br />
IPSec DOI: ein<br />
SIT_IDENTITY_ONLY: ein<br />
Identifikation prüfen: aus (für Zertifikat-Auth)<br />
Initial Contact: ein<br />
Benutze MODE_CFG: aus<br />
Lokale IP in Ente. Netzwerk: aus<br />
Adressprüfung unterlassen: aus<br />
Generiere Police: aus<br />
Support Proxy: aus<br />
Zertifikat anfordern: aus<br />
Zertifikat prüfen: ein<br />
Zertifikat senden: ein<br />
Einmalige SA: aus<br />
IKE Fragmentierung: ein<br />
Passiv: aus<br />
NAT-T: Ein<br />
Verbindungsüberprüfung: ein<br />
Ping-Adresse: <pingbare IP im Remote-Netzwerk><br />
Nach Zeitüberschreitung: Aufgeben<br />
<br />
=== VPN Troubleshooting / Debugging ===<br />
<br />
* Warum funktioniert das Key-Generieren auf dem VPN-Gateway (Debian etch) nicht (bleibt bei /dev/random-Zugriff stehen)?<br />
<br />
VPN-Gateway:~# ipsec newhostkey --output - --verbose >/tmp/xxx<br />
getting 137 random bytes from /dev/random...<br />
(Prozess bleibt ohne erkennbaren Fortschritt stehen)<br />
<br />
Das Problem besteht in der nicht ausreichend vorhandenen "Zufälligkeit" auf dem VPN-GW (siehe http://www.gentoo-wiki.info/HOWTO_OpenSwan_2.6_kernel#Generating_ipsec.secrets und ein Beispiel für einen erfolgreichen [[Ablauf der Key-Generierung]]).<br />
<br />
==== Werkzeuge ====<br />
<br />
* ipsec auto --status<br />
* ipsec barf<br />
* ipsec eroute --add --eraf inet --src 192.168.60.0/24 --dst 172.16.1.0/24 --af inet --edst 192.168.50.5 --said %pass<br />
* ipsec auto --listcacerts<br />
* ipsec auto --listcerts<br />
<br />
==== Probleme beim Aufbau eines VPN-Tunnels ====<br />
<br />
TCmy8T <a href="http://yttzflcmljus.com/">yttzflcmljus</a>, [url=http://tcnffmskyodh.com/]tcnffmskyodh[/url], [link=http://zsmshifslyyn.com/]zsmshifslyyn[/link], http://wtefylkajsen.com/<br />
<br />
===== Single-Homed-Lösung einfach zu realisieren? =====<br />
<br />
Entgegen der Aussage unter Laut http://lists.virus.org/users-openswan-0504/msg00028.html:<br />
"A single-homed VPN server (i.e. with only one interface) is normally<br />
asking for trouble", konnte die beschriebene Lösung erfolgreich aufgebaut werden.<br />
<br />
<br />
===== Offene Punkte =====<br />
* KLIPS vs. NETKEY<br />
Evtl. müssen folgende Kernel-Parameter auf dem VPN-Gateway überhaupt gesetzt werden:<br />
<pre><br />
echo "0" > /proc/sys/net/ipv4/conf/all/send_redirects<br />
echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects<br />
echo "1" > /proc/sys/net/ipv4/ip_forward<br />
</pre><br />
<br />
==== Beispiel ====<br />
<br />
* Status der Tunnel anzeigen:<br />
<pre><br />
tim@acantha:~$ sudo ipsec auto --status<br />
</pre><br />
<br />
=== VPN FAQ ===<br />
==== Wo findet man allgemeine Informationen zum Thema IPSec VPN? ====<br />
* man ipsec.conf<br />
* http://www.64-bit.de/dokumentationen/netzwerk/a/012/DE-VPN-HOWTO-4.html<br />
* http://onair.funkwerk-ec.com/brueckenschlag_zwischen_nat_und_ipsec.html<br />
* VPN Authentisierung via Zertifikat<br />
** http://www.natecarlson.com/linux/ipsec-x509.php<br />
** http://wiki.openswan.org/index.php/Openswan/Windows<br />
* dhcp over IPSEC: http://www.strongsec.com/freeswan/dhcprelay/ipsec-dhcp-howto.html<br />
* Windows Client<br />
** http://www.natecarlson.com/linux/ipsec-x509.php#clientwin<br />
** http://vpn.ebootis.de/<br />
** http://www.serverhowto.de/Einrichten-einer-L2TP-IPSec-Verbindung-mit-Zertifikaten.49.0.html<br />
<br />
<br />
==== Welche Alternativen zu OpenSwan gibt es? ====<br />
<br />
{| border="1" cellpadding="20" style="margin:1em 1em 1em 0; background:#f9f9f9; border:1px #AAA solid; border-collapse:collapse; empty-cells:show;"<br />
|- class="hintergrundfarbe5"<br />
!'''Produkt''' !! '''Kurzbeschreibung''' !! '''Verfügbarkeit'''<br />
|-<br />
| [https://www.openswan.org/projects/openswan/ OpenSwan (Referenz)] || An advanced IPSEC and IKE implementation for Linux/Windows/BSD.|| ubuntu package, debian package <br />
|-<br />
| [http://openvpn.net/index.php/open-source.html OpenVPN] || OpenVPN is an open source software application that implements virtual private network (VPN) techniques for creating secure point-to-point or site-to-site connections in routed or bridged configurations and remote access facilities. It uses a custom security protocol that utilizes SSL/TLS for key exchange. It is capable of traversing network address translators (NATs) and firewalls. It was written by James Yonan and is published under the GNU General Public License (GPL). || OS independant<br />
|-<br />
| [http://sourceforge.net/projects/sslexplorer/ SSL-Explorer] || Short Description: SSL-Explorer is a fully-featured, web-based SSL VPN server. This project is no longer actively maintained as the SSL-Explorer technology has now been acquired by Barracuda Networks, Inc. || OS independant (Java) <br />
|-<br />
| [http://www.strongswan.org/ StrongSwan] || A complete IPsec and IKEv1/IKEv2 implementation for Linux 2.4 and 2.6 kernels. || ubuntu package, debian package<br />
|}</div>
192.168.100.90