Hallo,
ich nutze Fedora 24 und habe strongswan-5.5.0 aus meinem /home/user/strongswan/ Verzeichnis entpackt und selbst mit dem argument --enable-openssl compiliert, da es durch einen bekannten bug bei der installation aus den repositories das openssl nicht aktiviert.
Das hat alles soweit geklappt und starten lässt sich der service auch, nur sind die zu configurierenden Dateien jetzt nicht wie gewohnt in /etc/strongswan/ zu finden sondern in /usr/local/etc/.

Laut "systemctl status strongswan" funktioniert es ordnungsgemäß und es kann auch alle certificate und keys finden und laden, nur die meldung das die eingerichtete verbindung aus der ipsec.conf geladen wurde, die fehlt.

Mein eigentliches Problem ist jetzt allerdings, das wenn ich die eingerichtete Verbindung mit dem befehl "sudo strongswan up namexy" aktivieren will, die bash mir dann sagt: "strongswan: Kommando nicht gefunden". Was aber normalerweise funktionieren sollte, bzw die rückmeldung das die Verbindung namexy nicht gefunden wurde kommen sollte.

War es denn falsch strongswan aus dem /home/.../ Verzeichnis zu entpacken und zu compilieren und es konnte deswegen nicht in die richtigen ordner installiert werden?


Besten Dank für Hilfe, Grüße..

Linke einfach das Binary von strongswan in ein Verzeichnis, das in deinem Pfad steht.
Also /sbin oder /usr/sbin vermtl.
(Ein echo $PATH als root zeigt dir, welche Directories als root erreichbar sind)

Man kann solche Kleinigkeiten auch beim Compilieren/Installieren mit angeben.
Meist finden sich solche Infos auch in der INSTALL* Datei.

Ich würde es neu bauen

./configure --prefix=/usr --sysconfigdir=/etc

und eigentlich ein rpm draus bauen und das src rpm nehmen

Vielen Dank für eure Antworten.

Ich habe strongswan mit allen von mir benötigten argumenten neu compiliert. Das aufrufen von ./configure --help listet ja alle Optionen & Features auf mit denen compiliert werden kann. Jetzt funktioniert es so wie es soll.

Erfolgreich eingerichtet sodass ich eine VPN Verbindung zu meinem Gateway herstellen kann, habe ich srongswan allerdings noch nicht.

Erfolgreich eingerichtet sodass ich eine VPN Verbindung zu meinem Gateway herstellen kann, habe ich srongswan allerdings noch nicht.

Details? Top Secret? [emoji51]

Also, ich habe ein CA Zertifikat in /.../ipsec.d/cacerts, ein X509 user Zert (fedora.pem) in /.../ipsec.d/certs & einen private key (localkey.der) in /.../ipsec.d/private.
Den Private Key habe ich selbst generiert, das CA und das fedora.pem Zertifikat habe ich von meinem Gateway (UTM).

Alles wurde erfolgreich geladen:

charon[5411]: 00[CFG] loading ca certificates from '/etc/strongswan/ipsec.d/cacerts'
charon[5856]: 00[CFG] loaded ca certificate "C=de, L=locationXY, O=Mein Name, CN=Mein Name VPN CA, E=utm@domain.tld" from '/etc/strongswan/ipsec.d/cacerts/VPN Signing CA.pem'
charon[5856]: 00[CFG] loading secrets from '/etc/strongswan/ipsec.secrets'
charon[5856]: 00[CFG] loaded RSA private key from '/etc/strongswan/ipsec.d/private/localkey.der'
charon[5856]: 07[CFG] loaded certificate "C=de, L=locationXY, O=Mein Name, CN=fedora, E=user@domain.tld" from 'fedora.pem'

keinerlei errors/fehlermeldungen.

Wenn ich jetzt die VPN Verbindung versuche aufzubauen, bekomme ich aber immerwieder die meldung das kein private Key für user[at]domain.tld gefunden wurde:

no private key found for 'user@domain.tld'
establishing connection 'utmnine' failed
Sonst keinerlei fehlermeldungen.

Meine ipsec.conf:


conn utmnine
keyingtries=1
keyexchange=ikev2
left=192.168.X.X
leftsourceip=%config
leftcert=fedora.pem
leftid=user@domain.tld
right=gateway.public-domain.tld
rightsubnet=%any
rightid=utm@domain.tld
type=tunnel
auto=add

Meine ipsec.secrets:

user@domain.tld : RSA localkey.der

Und leftid=user@domain.tld aus der ipsec.conf verlangt eben einen Private Key. Eigentlich sollte strongswan aber den "localkey.der" nehmen den es ja geladen hat.

Dann erhöhe mal den Loglevel

Wie hast du den Key und mit welchem Key wurde fedora.pem erstellt?