Ich möchte ein VPN auf Basis von ipsec aufbauen. Das VPN-Gateway befindet sich auf meiner Firewall (ich weiß nicht unbedingt das Ideale, aber es geht nicht anders). Der Aufbau ist also der folgende:

Roadwarrior ---- Firewall + VPN-Gateway -- LAN

In /etc/ipsec.conf habe ich bisher folgendes eingetragen:

config setup
interfaces="ipsec0=eth1"
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=no

conn %default
keyingtries=0

conn road-warrior

upps, ich war noch gar nicht fertig ;-)

type=tunnel
keyingtries=1
left=%any
leftnexthop=
right = ????
rightsubnet=192.168.99.0
rightfirewall=yes
authby=secret
auto=add

Meine Frage ist nun, was muss ich bei right eintragen. Die IP die ich vom Provider bekomme, oder die IP von der Netzwerkkarte die zum DSL-Modem geht ?

..aber wenn du das alles geschafft hast, würde mich mal interessieren, wie das bei dir alles funzt. ich habe so etwas ähnliches vor!

Hallo,

die FreeSWAN-Doku empfiehlt bei einer solchen RoadWarrior-Konfiguration einen Eintrag in der Form "right=@taylor.domain.tld" einzutragen.

http://www.freeswan.org/freeswan_snaps/CURRENT-SNAP/doc/config.html

Harry

Danke für den Tipp !!

Bei Roadwarriors empfiehlt sich die Verwendung von X.509 Zertifikaten.
Dazu gibt es einen Patch unter http://www.strongsec.com/freeswan/

Gruss
Marc

Ich weiss, aber die Version auf meiner Firewall ist ohne diesen Patch und da auf der FW aus Sicherheitsgründen kein Compiler existiert kann ich diese Version nicht nutzen.

Kompiler installieren, kompilieren und dann den Kompiler wieder deinstallieren...
Ich denke wenn jemand das System geknackt hat spielt es auch keine Rolle mehr ob Du ihm/ihr einen Kompilier zur Verfügung stellst oder nicht.

Gruss
Marc

Da es sich bisher nur um max. 2 Roadwarriors handeln würde, macht der Aufwand (noch) keinen Sinn. Trotzdem Danke für den Tipp.

Hallo,

X509v3-Zertifikate zu nutzen, ist eine gute Idee.

Der Einsatz von solchen Zertifikaten macht jedoch in der Regel nur dann Sinn, wenn Du entweder:
a) mit entfernten Kommunikationspartnern einen ipsec-Tunnel aufbauen möchtest und die Authentifizierungsinformationen über keinen vertraulichen Kanal ausgetauscht werden können; in diesem Falle bestätigt Dir das Zertifikat (der Herausgeber) die Identität des Inhabers
b) einen ganzen Pool an Road-Warriorn verwaltest und nebenbei die Möglichkeit haben willst, dass Du einzelne Zertifikate als ungültig markierst (Certificate Revocation List)

Viel mehr Argumente für den Einsatz von x509v3-Zertifikaten wollen mir auf Anhieb nicht einfallen.

Vom Standpunkt der sicheren Authentifizierung beider Kommunikationspartner ist es grundsätzlich egal, ob Du ein x509v3-Zertifikat einsetzt oder einfach ein nicht-zertifiziertes RSA-Schlüsselpaar, welches Du über einen gesicherten Kanal mit dem Kommunikationspartner austauscht.

Ok, ein drittes Pro-Argument hätte ich noch: x509v3 ist schick und hype und jeder will es haben :D

Harry

Danke für die Erläuterung. Das Passwort wird über verschlüsselte Emails ausgetauscht, das sollte also kein Problem darstellen.

Klar bei 2 RWs ist sicherlich die Notwendigkeit von Zertifikaten nicht gegeben, dazu kommt ja auch der Mehraufwand einer CA, welcher Art auch immer.
Ich persönlich ziehe die Zertifikate trotzdem vor, weil ich die Konfiguration von freeS/WAN so viel angenehmer finde, mir gingen diese right- und leftrsasigkey=1000zeichen in den Konfigurationsdateien etwas auf die Nerven.

noch einen schönen Abend

Gruss
Marc

Original geschrieben von aycaramba
Ich persönlich ziehe die Zertifikate trotzdem vor, weil ich die Konfiguration von freeS/WAN so viel angenehmer finde, mir gingen diese right- und leftrsasigkey=1000zeichen in den Konfigurationsdateien etwas auf die Nerven.

Na da haben wir schon das vierte Pro-Argument für x509-Zertifikate :D

Harry