Category StrongSwan IPsec VPN

StrongSwan IPsec VPN

Exported from Notepad++
Strongswan 4.2.9 hat Probleme mit Kernel 2.6.7 wenn IPv6 nicht compiliert wurde. Ab Strongswan 4.3 und Kernel 2.6.30 gibt es keine IPv6 Probleme. Ab Kernel 2.6.33 ist das SHA2 voll integriert. Das heisst in der ipsec.conf muss die option ike=aes256-sha512-modp4096 und aes256-sha512-modp4096 hinzugefuegt werden. das funktioniert aber nur wenn der gegenueberliegende Host auch über den kernel 2.6.33 verefuegt oder hoeher. Als erstes muss sichergestellt werden, das die beiden zu verbindenden VPN-Netze, in zwei unterschiedlichen Subnetzen liegen, damit die IP(IPsec)-Packet korrekt geroutet werden koennen...
Read More

Azure IPsec Site to Site strongSwan

Exported from Notepad++
Stand 11/2019 #### #Site-to-Site (Net to Net) #VPN-Server DNS (Azure): sdvc4fqaf3qfref.westeurope.cloudapp.azure.com #Wichtig sonnst kommt der Fehler “certificate status is not available” #Client DNS (lokal): bit-devil.ddns.net #Wichtig sonnst kommt der Fehler “certificate status is not available” # openssl genrsa -aes-256-cbc -out /etc/ipsec.d/private/ca.key 2048 openssl req -new -sha512 -key /etc/ipsec.d/private/ca.key -x509 -days 365 -subj ‘/C=CA/ST=CA State/L=CA/O=CA/OU=CA/CN=CA/emailAddress=root@ca.ddns.net’ -out /etc/ipsec.d/cacerts/ca.crt # openssl genrsa -aes256 -out /etc/ipsec...
Read More

StrongSwan update

Um strogSwan zu einer neuen Version upzudaten(feinstes Denglisch :-)) geht man wie folgt vor:

“tar -xvzf strongswan-4.1.6.tar.gz”
“cd strongswan-4.1.6/”
“./configure” nur bei RTS ansonsten (Debian) “./configure –bindir=/usr/bin –sbindir=/usr/sbin –libdir=/usr/lib –includedir=/usr/include –sysconfdir=/etc/ipsec –enable-ldap –enable-mysql –enable-sql –enable-cisco-quirks –enable-nat-transport –enable-manager –enable-mediation –enable-integrity-test –enable-openssl –enable-agent –enable-unit-tests”
RTS Compile Command:
“make”
“ipsec stop”
Sich davon überzeugen das der ipsec Dienst wirklich nicht mehr läuft “ps -ef | grep -i ipsec”.
Das Verzeichnis “ls -al /var/run” (PID Verzeichnis) nach noch eventuellen vorhanden Dateien durchsuchen bezüglich “charon...

Read More

StrongSwan IPsec Bsp.

VPN zwischen GW2 und GW1.
VPN(IPsec) Packet von 10.10.10.2 nach 172.16.190.8 :
10.10.10.2_eth0< =====>10.10.10.1_eth0-192.168.1.1_eth1< ===VPN-Tunnel===>192.168.2.2_eth0-172.16.190.2_eth1< =====>172.16.190.8_eth0
PC1(Linux) GW1 Wireles-LAN GW2 PC2(Win_XP)

IP Forwarding aktivieren
“echo 1 /proc/sys/net/ipv4/ip_forward” bzw. “vi /etc/sysctl.conf - net.ipv4.ip_forward = 1”

Routen GW2 und GW1 adden.
GW2 - “route add -net 0/0 gw 192.168.2.2”
GW1 - “route add -net 0/0 gw 192.168.1.1”
Keine weiteren Routen eintragen da sonst Konflikt mit dem Kernel Tunnel(routing) Device.

Route auf PC2 adden.
PC2 - via Systemsteuerung Standard Gateway auf 172.16.190.2 setzten oder
“route -p add 10.0.0.0 mask 255.0.0.0 172.16.190.2 metric 20 if 0x10003”

Nun bei PC eins den Standard Gateway...

Read More