Re: OpenSWAN - aller anfang scheint schwer
am Tue, dem 15.02.2005, um 9:44:28 +0100 mailte Jan L?hr folgendes:
> ja hallo erstmal,...
>
> ich versuche gerade mich in openswan einzuarbeiten. Unglücklicherweise
Kenn ich nicht, aber FreeSwan. Kann sein, daß ich daher nun was flasches
sagen bzw. etwas, was für Dich nicht gilt.
> erstellt openswap bei jedem ipsec restart ein interface ipsec0, dass das
> VPN-Gateway vom Rest des Netzwerks trennt.
Sei froh, daß es das gibt! Der IPSEC-Code in Kernel 2.6 erstellt dies
z.B. nicht (FreeSwan macht es). Über dieses virtuelle Interface siehst
Du das, was üver ipsec geht, aber unverschlüsselt. Echt gut, weil hier
kannst Du Dein VPN mit iptables filtern.
> Dies passiert dadurch, dass ein Interface ipsec0 angelegt wird, dass genau
> die gleiche ip-Adresse hat, wie die Haupt-Netzwerkkarte (eth1), (was
Korrekt, FreeSwan auch (ipsec0 = externe IP)
> zugegeben bei 3 NICs mit 5 Interfaces ein seltener Zufalll ist.)
?
> Die ipsec.conf bezieht sich zudem noch auf ein ganz anderes subnet, s.d. ich
i.a.W.: abkopiert, ohne zu verstehen, gell?
> Keep smiling
> yanosz
> conn standard
> left=172.32.0.1
> leftsubnet=172.32.0.1/32
> leftnexthob=172.32.0.1
> right=%any
> #rightsubnet=172.16.0.0/24
> #rightsubnet=172.32.0.1
> # auto=start
,----[ Auszug ]
| # /etc/ipsec.conf - FreeS/WAN IPsec configuration file
|
| # More elaborate and more varied sample configurations can be found
| # in FreeS/WAN's doc/examples file, and in the HTML documentation.
|
|
|
| # basic configuration
| config setup
| # THIS SETTING MUST BE CORRECT or almost nothing will work;
| # %defaultroute is okay for most simple cases.
| interfaces=%defaultroute
| # Debug-logging controls: "none" for (almost) none, "all" for lots.
| klipsdebug=none
| plutodebug=none
| # Use auto= parameters in conn descriptions to control startup actions.
| plutoload=%search
| plutostart=%search
| # Close down old connection when new one using same ID shows up.
| uniqueids=yes
|
|
|
| # defaults for subsequent connection descriptions
| # (mostly to fix internal defaults which, in retrospect, were badly chosen)
| conn %default
| keyingtries=1
| disablearrivalcheck=no
| authby=rsasig
| rightrsasigkey=%cert
| auto=add
| left=%defaultroute
| leftcert=gw-heynitzCert.pem
| leftid="C=DE, ST=Germany, L=Barsinghausen, O=Schollglas, OU=CA, CN=Andreas Kretschmer, E=andreas.kretschmer@schollglas.com"
|
|
| conn bsh
| type=tunnel
| left=%defaultroute
| leftsubnet=192.16.1.0/24
| right=62.159.xxx.yyy
| rightsubnet=192.8.1.0/24
| rightrsasigkey=%cert
| rightid="C=DE, ST=Germany, O=Schollglas, CN=ipsec-bsh2004, E=andreas.kretschmer@schollglas.com"
| auto=start
`----
wer genau hinschaut sieht, daß das schwule Adressen in den lokalen
Netzen sind. Haben Leute vor mir verbockt. Ansonsten ist das eine
Konfig, die mit Freeswan aus stable seit ca. 2 Jahren super
funktioniert, mit Zertifikaten (keine PSK).
>
> ipsec0 hat die IP 192.168.1.200 ...
Das ist IMHO schon Scheiße^Wflasch. Da gehört die externe IP hin.
Wie gesagt: FreeSwan mit Debian/Stable 1.96, das kann aber mit Deiner
Version anders sein. Und: es ist eine Netz-Netz - Konfiguration,
kein Roadwarrior.
Andreas
--
Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau-
fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei
von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA
Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-)
Reply to: