Im RPM- Paket freeswan ist die Version 1.98b mit x.509 implementierung.
Genügt es mir jetzt dieses auf den rechner zu spielen um die configurationen vorzunehmen, oder muss ich das kanze noch bearbeiten, um das VPN aufzubauen?
Ich weiß, das noch ein zweites Paket km_freeswan bei ist, doch der support unter zz_freeswan beantwortet mir nicht wirklich meine Frage!

Freu mich risig über eure antworten!:)

hi,

du musst beide Pakete installieren ...
bei SuSE 8.2 steht bei der Paketbeschreibung von km_freeswan genau,
was du machen musst:

"Bauen und installieren Sie es mit make -f Makefile.module;
make -f Makefile.module.install in /usr/src/kernel_modules/zz_freeswan"

grüsse,

Wenn ich das gemacht habe und ipsec + Zertificate erstellt habe, ist das VPN lauffähig gell !?!
Jetzt möchte ich mit Einem WInXP client drauf zugreifen.
Fragen dazu:
Wo muss ich das Zertifikat für Windows hinkopieren (Welcher ordner), um dan mit dem integrierten VPN- Tool den Tunnel aufzubauen?

Dankschain für die antwort!!!

allerdings gibt er mir bei der eingabe im zz_freeswan
*** [precheck] Error 1
leaving directory usr...
*** [module] Error 2

aus! das klappt wohl nicht ganz!

Original geschrieben von wisnitom
hi,

du musst beide Pakete installieren ...
bei SuSE 8.2 steht bei der Paketbeschreibung von km_freeswan genau,
was du machen musst:

"Bauen und installieren Sie es mit make -f Makefile.module;
make -f Makefile.module.install in /usr/src/kernel_modules/zz_freeswan"

grüsse,

ich habe beide Pakete Installiert und im ordner /usr/src/kernel-modules/zz_freeswan make -f Makefle.module install ausgefürt!!!
Es kamen nur Error 1 und Error 2 dabei heraus!
Dann kam ich auf die idee, mal in den Runlevel- Editor zu schauen und stellte fest, das Ipsec bereits enthalten war.
Muß ich dennoch am make -f .... weiterschrauben, oder kann ich es so stehen lassen?

Meines Wissens muß man da nichts kompilieren, sondern lediglich die Pakete installieren und IPSec in Yast2 im RL-Editor freischalten.

@wisnitom:
Bist du sicher das du SuSE8.2 meinst? Den von dir zitierten Text habe ich bei der Installation nicht gesehen!

Original geschrieben von Coffi
ich habe beide Pakete Installiert und im ordner /usr/src/kernel-modules/zz_freeswan make -f Makefle.module install ausgefürt!!!
Es kamen nur Error 1 und Error 2 dabei heraus!


Hi

Ich habe Freeswan unter SuSE 8.1 erfolgreich zum Laufen gebracht, aber dazu mußte ich vorher die Freeswan-Module im Kernel aktiveren und dann den Kernel neu kompilieren. Eine Anleitung dazu findest Du im Admin-Handbuch.

Ansonsten kann ich www.freeswan.org empfehlen.

Gruß
Ralf

Er meinte sicher 8.1, da in der beschreibung des RPM-Paketes unter Yast tatsächlich diese Beschreibung ganz unten steht!

allerdings hast du auch recht!
Es steht zwar da, ist aber bei der installation beider Pakete nicht mehr nötig!
Mensch, hab ich mir einen abgebrochen!

Kann mal einer nachschauen, der ein Freeswan gateway laufen hat, ob es normal ist bei der eingabe von
# ipsec verify
Looking for forward key for (rechnername) [FAILED]
als eine der ausgaben zu bekommen???

Was muß ich tun, damit das aufhört?:confused:

Ist bei mir auch... ich glaub das ist nicht so wichtig, laut Freeswan Anleitung sollten die ersten 4 Überprüfungen OK ergeben... am besten du schaust mal in die Anleitung, da steht zu dem Thema sicher was!

Version check and ipsec on-path [OK]
Checking for KLIPS support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is running [OK]
DNS checks.
Looking for forward key for alcyone [FAILED]
Does the machine have at least one non-private address [FAILED]

Create and publish a forward DNS record
Find a domain you can use

Find a DNS forward domain (e.g. example.com) where you can publish your key. You'll need access to the DNS zone files for that domain. This is common for a domain you own. Some free DNS providers, such as this one, also provide this service.

Dynamic IP users take note: the domain where you place your key need not be associated with the IP address for your system, or even with your system's usual hostname.
Choose your ID

Choose a name within that domain which you will use to identify your machine. Normally, but not always, your ID is the same as your machine name. Our machine is called xy, and we'll choose the corresponding FQDN xy.example.com.
Create a forward (KEY) record

Generate a DNS KEY record containing your system's public key with the command:

ipsec showhostkey

This command takes the contents of /etc/ipsec.secrets and reformats it into something usable by ISC's BIND. The result should look like this (with the key data trimmed down for clarity):

; RSA 2048 bits xy.example.com Sat Apr 15 13:53:22 2000
xy.example.com. IN KEY 0x4200 4 1 AQOF8tZ2...+buFuFn/

Change xy.example.com to your FQDN.
Publish the KEY

Insert the record into DNS, or have a system adminstrator do it for you. It may take up to 48 hours for the record to propagate, but it's usually much quicker.
Test that your key has been published

Check your DNS work

ipsec verify --host xy.example.com

You ought to see something like:

Looking for forward key for xy.example.com [OK]

For this type of opportunism, only the forward key test is relevant.

Original geschrieben von hiTCH-HiKER
@wisnitom:
Bist du sicher das du SuSE8.2 meinst? Den von dir zitierten Text habe ich bei der Installation nicht gesehen!
hi,

ja absolut .. YAST .. Software installieren .. wenn ihr das Paket km_freeswan anklickt, seht ihr
unten in der Paketbeschreibung die beiden Befehle, die nacheinander einzugeben sind.
Wenn Error 1 oder Error 2 kommt, mal ein makeoldconfig eingeben, damit eine aktuelle .config
Datei erzeugt wird.
War ne Sache von 5 Minuten .. dann IPSEC in den entsprechenden Runleveln aktivieren und nach dem
Neustart ist das neue Interface ipsec0 vorhanden.

grüsse,

Was Windows angeht: Hier (http://www-t.zhwin.ch/it/snk/labs/SNK_Lab_4.pdf) findest du ein recht gutes Tutorial, auch wenn es sich um ein Praktikum handelt. Dafür brauchst du das Tool: http://vpn.ebootis.de/
Falls du es lieber schmerzhafter mit der Management-Konsole haben willst, gehe mal diesem Link nach: http://ipsec.gosecurity.ch/

Gruss, Andy

OK, das läuft alles!!!:D
Welch eine freude!!!

Jetzt komme ich zu der xp- seite bei meiner installation.
Das service pack 2 ist installiert und ich möchte nu wissen, wo ich das für den windows roadwarrior in .p12- Format gebrachte Zertifikat hinkopieren muss, um mich dann mit dem xp- VPN tool am Linux- VPN- GAteway anzumelden.

Brauche ich wirklich das tool von Marcus Müller? Was soll das bezwecken? Ipsec ist doch bereits im XP- VPN- Tool installiert!

Fragen, Fragen und noch mehr fragen.

1.Der Rechner wird in die DMZ gesetzt,
2.Die RPM-Pakete werden installiert
Freeswan
zz_freeswan
Openssl
Linux kernel(extra zu Susekernel)
gcc
3.Ipsec wird im Runleveleditor freigestellt
4.Die openssl.cnf wird bearbeitet um die haltbarkeit hochzusetzen
5.Erstellen der Zertifikate und an den richtigen Platzt kopieren
6.Ipsec Konfigurieren nach folgenem schema:
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes

conn %default
keyingtries=0
compress=yes
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert

conn roadwarrior-net
left=(ip.of.host)
leftsubnet=(your_subnet)/(your_netmask)
also=roadwarrior
conn roadwarrior
left=(ip.of.host)
leftcert=host.example.com.pem
right=%defaultroute
rightcert=clienthost.example.com.pem
auto=add
pfs=yes

7.Den RSA.secret auser acht lassen, da alle sagen, sie besteht aus einer Zeile, was aber nicht stimmt, da dort ein verschlüssetes etwas zu finden ist.

Wenn ich fehler gemacht habe bis hier hin korregiert mich(hiermit meine ich nicht rechtschreibfehler :rolleyes: ), wenn nicht, sagt mir wie ich die firewall einstellen muss und was ich sonst noch nicht hab.

Ich bedanke mich für eure aufmerksamkeit und eure antworten die noch folgen werden.

ich habe jetzt nach der eingabe von
ipsec verify
alles bis auf
Looking for forward key ... [FAILED]
alles auf [OK]

und bei eingabe von
tail -f /var/log/warn
alles ganz gut aussehend, doch die letzte zeile macht mir kummer!

IPSEC EVENT: KLIPS device ipsec0 shut down

was soll das? Ist das Normal?



:confused: :confused: :confused: :confused: :confused: :confused: :confused: :confused: :confused: :confused:

hi,

schau mal in diese Anleitung, die ist kurz gut und bündig und wirklich gut:

Windows-Roadwarrior über IPSec an Linux mit FreeSWAN (http://www.shinewelt.de/linux/w2k_roadwarrior_freeswan.pdf)

grüsse,

Sorry, aber pdf- Files lassen sich auf meinem system nicht öffnen!!
Eigentlich möchte ich ja nur wissen, ob Klipps nur bei einwahl einschaltet, oder die ganze zeit leuft!
Danke aber trotzdem!

Jetzt läuft die geschichte intern endlich, doch möchte ich auch auf einen rechner zuhause zugreifen.
Hierzu habe ich mir eine adresse bei dyndns geben lassen.
Bis hierhin geht mein verständnis dafür ja, da meine ip im internet ja unbekannt ist. Jedoch verstehe ich nicht, wie ich meinem Server jetzt sage, das er mit dieser Adresse arbeiten soll.
Wie muß ich jetzt meine Ipsec.conf an diese begebenheit anpassen?
Jehmand hat doch bestimmt schon erfahrung mit soetwas!

Original geschrieben von Coffi
Wie muß ich jetzt meine Ipsec.conf an diese begebenheit anpassen?
Jehmand hat doch bestimmt schon erfahrung mit soetwas! [/B]

Wenn Dein Server "left" ist, und der Client "right" muß so etwas wie das hier

right=%any

evtl. noch

rightsubnetwithin=0.0.0.0/0

in der Definition für die Client-Connection stehen. Damit kann sich der Client von beliebigen Adressen connecten.

Gruß
D. O.

Aber woher soll mein rechner zuhause wissen, an welchen server er sich anmelden soll? Ich habe gelesen, das er eine dyndns adresse brauch. Doch kann ich nicht im artikel finden, wo ich jetzt diese adresse einfügen muss. Geschieht das jetzt bei der erstellung der Zertifikate, oder liegt diese einstellung in den Ipsec.conf des Servers und den Clients?
Da ich davon ausgehe, dass die Zertifikate nur ein sicherheitspunkt ist bei der Anmeldung und nichts mit der Einwahl zu tun haben, wäre es logisch in der ipsec.conf bei client und server einstellungen vorzunehmen.
Die frage ist ja, wohin mit der Adresse. An den conn setup und %default werden ich wohl keine änderungen machen müssen.
Doch in der roadwarrior muss in kirgendeiner Zeile stehen:
(befehl) =name@dyndns.org
oder teusche ich mich da?