2 Netze über 2 Router via VPN verbinden
Hallo Liste,
ich muß zugeben das ich kurz vor dem verzweifeln bin nachdem ich nun schon
zwei Wochen meiner Arbeitszeit mit ein und demselben Problem verbringe.
Obwohl ich zwei Zeitschriften (CT und Linux-Magazin) welche Artikel zu diesem
Thema abgedruckt haben und auch im Internet einige Webseiten gefunden habe
die sich damit befassen gefunden habe komme ich einfach nicht weiter. Die
Situation ist wie folgt. Ich habe zwei LAN's in welchem jeweils ein
Linux-Router das Gateway zum Internet bereitstellt. Beide Router sind von
extern lediglich über DynDNS zu erreichen haben also keine feste IP. Diese
beiden Netzwerke sollen mit FreeSwan durchs Internet miteinander verbunden
werden. Geht das überhaupt?
Zuerst mal die Konfiguration:
Netzwerk 1:
192.168.111.0/24
Router 1:
Debian 3.01, Kernel 2.4.22 (vanilla)
FreeSwan 2.01
eth0 (192.168.111.10) zeigt ins LAN (host1)
eth0 ist mit dem DSL-Modem verbunden
DynDNS-Name = netz1.dyndns.org
Netzwerk 2:
192.168.0.0/24
Router 2:
Debian 3.01, Kernel 2.4.22 (vanilla)
FreeSwan 2.01
eth0 (192.168.0.50) zeigt ins LAN (host2)
eth0 ist mit dem DSL-Modem verbunden
DynDNS-Name = netz2.dyndns.org
***Konfiguration von Host1***
FreeSwan-2.0.1 habe ich zuerst mit dem x509-Patch (Version 1.4.5 für
FreeSwan-2.01) gepatch und anschliessend installiert bzw. den dadurch
angepassten Kernel. Das hat soweit auch geklappt. Für die weitere
Konfiguration bin ich wie folgt vorgegangen.
/etc/ssl/openssl angepasst:
default_days = 3650
default_bits = 2048
Verzeichnis für die Zertifikate angelegt /root/sslCA und hineingewechselt.
/usr/lib/ssl/misc/CA.sh folgenden Eintrag geändert:
DAYS="-days3700"
Nun die CA erzeugt:
usr/lib/ssl/misc/CA.sh -newca
Zertifikat für das VPN-Gateway ausgestellt:
/usr/lib/ssl/misc/CA.sh -newreq
Zertifikat signieren:
usr/lib/ssl/misc/CA.sh -sign
Den Dateien noch sinnvolle Namen gegeben und in die richtigen Verzeichnisse
kopiert:
mv newcert.pem host1.komet.net.pem
mv newreq.pem host1.komet.net.key
cp host1.komet.net.pem /etc/ipsec.d/certs
cp host1.komet.net.key /etc/ipsec.d/private
cp demoCA/cacert.pem /etc/ipsec.d/cacerts
Anschliessend habe ich:
openssl ca -gencrl -out /etc/ipsec.d/crls/crl.pem
aufgerufen. Soweit hat eigentlich alles geklappt. Jetzt muß ich allerdings die
ipsec.conf anpassen und genau da fangen meine Probleme an. Im Moment siegt
diese so aus:
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
conn %default
keyingtries=1
disablearrivalcheck=no
authby=rsasig
rightrsasigkey=%cert
auto=add
left=%defaultroute
leftcert=sphinxCert.pem
leftupdown=/usr/local/lib/ipsec/_updown.x509
conn p2p
right=%any
conn n2n
right=%any
rightsubnetwithin=192.168.0.0/24
leftsubnet=192.168.111.0/24
und wenn ich nun FreeSwan mit 'ipsec setup start' starte erhalte ich im
syslog:
ipsec_setup: Starting FreeS/WAN IPsec 2.01...
ipsec_setup: KLIPS debug `none'
ipsec_setup: KLIPS ipsec0 on ppp0 80.139.210.153/255.255.255.255 pointopoint
ipsec_setup: ...FreeS/WAN IPsec started
ein anschliessender 'ipsec verify' führt zu:
hecking your system to see if IPsec got installed and started correctly
Version check and ipsec on-path [OK]
Checking for KLIPS support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is running [OK]
DNS checks.
Looking for TXT in forward map: sphinx [MISSING]
Does the machine have at least one non-private address [OK]
Two or more interfaces found, checking IP forwarding [OK]
Checking NAT and MASQUERADING.
Wenn dann jedoch FreeSwan gestartet ist habe ich vom LAN her keinen Zugriff
mehr aus Internet (kein Ping, kein Web, einfach nichts). Sobald ich FreeSwan
stope komme ich auch wieder ins Internet. Ich habe mich schon fast zu tote
gegoogelt jedoch keine Info's darüber gefunden die mein Problem bzw. meine
Situation beschreibt.
Wäre schön wenn mir einer von euch weiterhelfen kann.
Gruß Sven
Reply to: