57.3. Verbindungen konfigurieren
Zurück 57. Kapitel - VPN mit Linux Weiter

57.3. Verbindungen konfigurieren

  1. Lassen Sie sich den Inhalt der Datei /etc/ipsec.conf ausgeben. Sie sollten hier die Zeile include /etc/ipsec.d/*.conf finden. Sie darf nicht mit dem Zeichen # beginnen, denn ansonsten wäre sie auskommentiert.

  2. Lassen Sie sich den Inhalt der Datei /etc/ipsec.secrets ausgeben. Sie sollten hier die Zeile include /etc/ipsec.d/*.secrets finden. Auch sie darf nicht mit dem Zeichen # beginnen.

  3. Wählen Sie einen Namen für die Verbindung. Er sollte keine Sonderzeichen oder Leerzeichen enthalten. In diesem Beispiel wird dafür intra2netserver verwendet.

  4. Legen Sie eine Datei mit dem Namen /etc/ipsec.d/intra2netserver.conf (bzw. Ihrem Verbindungsnamen) an und öffnen sie in einem Texteditor (z.B. nano oder vi).

  5. Die Konfigurationsdatei beginnt mit der Zeile conn intra2netserver (bzw. Ihrem Verbindungsnamen). Wichtig ist, dass alle folgenden Zeilen mit Leerzeichen oder Tabulator eingerückt sein müssen. Leerzeilen sind nicht erlaubt, es muss mindestens das (eingerückte) Zeichen # für einen Kommentar in einer Zeile enthalten sein.

  6. Geben Sie die Daten für die Verbindung analog zu folgendem Beispiel ein:

    conn intra2netserver
   auto=start
   keyingtries=0
   type=tunnel
   auth=esp
   authby=rsasig
   ike=aes128-sha-modp1024!
   esp=aes128-sha1!
   pfs=yes
   ikelifetime=480m
   keylife=60m
   rekey=yes
   #
   # left: our side
   left=%defaultroute
   leftid="/C=DE/ST=BW/L=Tuebingen/O=Intra2net/CN=MeinRechnerName"
   leftrsasigkey=%cert
   leftcert=/etc/ipsec.d/cert.pem
   leftsubnet=192.168.10.0/24
   leftfirewall=yes
   #
   # right: intra2net system side
   right=mein-server.dyndns.org
   rightid="/CN=intra.net.lan"
   rightrsasigkey=%cert
   rightcert=/etc/ipsec.d/intra2netserver.pem
   rightsubnet=192.168.1.0/24

    Die Bedeutung der Einträge wird im Folgenden kurz erklärt. Die mit left beginnenden Einträge stehen für die lokale Seite, die mit right beginnenden für die Gegenseite (hier das Intra2net System). Alle Einträge die nicht extra erklärt werden, übernehmen Sie wie dargestellt.

    auto

    Bei add wird die Verbindung nur geladen, bei start automatisch aufgebaut.

    keyingtries

    Wie oft versucht werden soll, die Verbindung aufzubauen bis wegen einem Fehler abgebrochen wird. 0 steht für endlos.

    ike

    Verschlüsselungsalgorithmus für Phase 1. Die verwendete Kombination muss im Verschlüsselungsprofil des Intra2net Systems vorkommen.

    esp

    Verschlüsselungsalgorithmus für Phase 2. Die verwendete Kombination muss im Verschlüsselungsprofil des Intra2net Systems vorkommen.

    pfs

    Aktiviert/Deaktiviert Perfect Forward Secrecy

    ikelifetime

    Lebensdauer für Phase 1 (IKE)

    keylife

    Lebensdauer für Phase 2 (IPSec)

    left/right

    IP-Adresse oder DNS-Name. Für die lokale Seite %defaultroute. Wenn eine feste IP vorhanden ist, geben Sie immer die IP ein und nicht einen auch noch verfügbaren DNS-Namen.

    leftid/rightid

    IPSec-Id der entsprechenden Seite in Anführungszeichen. Geben Sie hier die Inhaberdaten der Zertifikate so ein, wie Sie im Intra2net System in den Schlüssel-Menüs angezeigt werden.

    leftcert/rightcert

    Dateinamen des Zertifikats der entsprechenden Seite

    leftsubnet/rightsubnet

    Netz mit Netzmaske hinter der entsprechenden Seite. Soll auf Seite des Linux-Rechners (left) nur die eine, auch extern verwendete IP per VPN verbunden werden, lassen Sie den Parameter leftsubnet weg und stellen im Intra2net System das "Netz auf Gegenseite" auf "Externe IP".

    leftfirewall

    Versucht bei yes automatisch die lokale Firewall für die VPN-Verbindung zu öffnen. Dies funktioniert nur, wenn die Firewall nicht zu stark angepasst wurde.

  7. Legen Sie eine Datei mit dem Namen /etc/ipsec.d/intra2netserver.secrets (bzw. Ihrem Verbindungsnamen) an und öffnen sie in einem Texteditor (z.B. nano oder vi).

  8. Die Datei muss auf den Dateinamen des privaten Schlüssels verweisen:

    : RSA /etc/ipsec.d/private_key.pem

  9. In den meisten Fällen müssen Sie dem IPSec-Dienst mitteilen, dass er neu starten soll um Konfigurationsdateien neu einzulesen. Dies wird normalerweise über den Befehl /etc/init.d/ipsec restart erreicht.

  10. Haben Sie Ihre Verbindung auf automatisch starten gestellt, wird sie jetzt bereits im Hintergrund aufgebaut. Wenn Sie sie manuell starten möchten, können Sie dies mit ipsec auto --up intra2netserver (bzw. Ihrem Verbindungsnamen) tun.

    Protokolle des Verbindungsaufbaus finden Sie mit der Dienstkennung pluto in einer der Logdateien des Systems, bei aktuellen Distributionen meistens /var/log/secure.

Zurück Nach oben Weiter
57.2. Zertifikate erzeugen Zum Anfang 57.4. Intra2net System