Virtual Private Network mini-howto (Linux-Kernel 2.6.x && Windows 2000/XP)

Wichtigste Quellen um Überblick:



Linux mit Kernel 2.6.x

Vier Schritte zum privaten IP-Verkehr (nötige Zeit 20min-1.5h)

Kernel v2.6 kompilieren

 *
 * Networking Options
 *    DeviceDrivers->NetworkingSupport->NetworkingOptions
 *
 PF_KEY sockets (NET_KEY) [Y/n/m/?] y
 IP: AH transformation (INET_AH) [Y/n/m/?] y
 ** bei NAT kein AH verwenden!
 IP: ESP transformation (INET_ESP) [Y/n/m/?] y
 IP: IPsec user configuration interface (XFRM_USER) [Y/n/m/?] y

 *
 * Cryptographic API
 *    folgende Punkte sollten nicht veraenderbar sein, sonst y/m
 Cryptographic API (CRYPTO) [Y/n/?] y
 HMAC support (CRYPTO_HMAC) [Y/n/?] y
 Null algorithms (CRYPTO_NULL) [Y/n/m/?] y
 MD5 digest algorithm (CRYPTO_MD5) [Y/n/m/?] y
 SHA1 digest algorithm (CRYPTO_SHA1) [Y/n/m/?] y
 DES and Triple DES EDE cipher algorithms (CRYPTO_DES) [Y/n/m/?] y
 AES cipher algorithms (CRYPTO_AES) [Y/n/m/?] y

IPSec Tools installieren

Konfiguration

Achtung: ab Kernel 2.6.10 funktioniert die folgende Konfiguration nicht mehr zum Tunneln von Daten - Details waren leider zum Zeitpunkt des Schreibens dieses Textes (Januar 02004) noch nicht verfügbar - die Problemlösung findest du unter http://lkml.org/lkml/2004/12/26/80

manuelle Schlüssel

racoon zum Schlüsselaustausch

letz fetz!

Hilfe

KleinesGlossar

iptables-Regeln


x.509-Zertifikate

Als Alternative zu statischen Schlüsseln kannst du auch x.509-Zertifikate verwenden. Ein Schlüsselwechsel ist hier problemloser zu bewerkstelligen, solange der neue Schlüssel von einer anerkannten CA (notfalls eine selbstgemachte) signiert wird.

faxe als ca

eigene ca

Beispielkonfiguration

racoon.conf

{{{path certificate "/home/certificates";

remote anonymous {

}

sainfo anonymous {

} }}}

ipsec.conf

{{{flush; spdflush;

spdadd 192.168.23.1 192.168.23.21 any -P in ipsec esp/transport//require ah/transport//require; spdadd 192.168.23.21 192.168.23.1 any -P out ipsec esp/transport//require ah/transport//require; spdadd 192.168.23.21 0.0.0.0/0 any -P out ipsec esp/tunnel/192.168.23.21-192.168.23.1/require; spdadd 0.0.0.0/0 192.168.23.21 any -P in ipsec esp/tunnel/192.168.23.1-192.168.23.21/require; }}}


M$ Windows 2000/XP

Quelle: http://www.wiretapped.net/~fyre/ipsec/

Kurzzusammenfassung mit den deutschsprachigen Menüpunkten

  1. erstmal PKCS#12-Zertifikate erstellen, mit denen Windows umgehen kann: openssl pkcs12 -export -inkey abyss.key -certfile ca.crt -in abyss.crt -out abyss.p12

  2. unter Start -> Ausführen das Programm mmc starten

  3. <nowiki>Konsole -> Snap-In hinzufügen/entfernen</nowiki> anschließend auf Hinzufügen

  4. Zertifikate, dann Dienstkonto und nun IPSEC-Richtlinienagent wählen

  5. zusätzlich IP-Sicherheitsrichtlinienverwaltung und dann lokaler Computer hinzufügen

  6. Snap-In-Fenster schließen
  7. den Zertifikate-Baum öffnen und mit der rechten Maustaste auf den Unterpunkt Eigene Zertifikate klicken

  8. Alle Tasks -> Importieren und die vorher erstellte Datei auswählen

  9. im Unterpunkt Vertrauenswürdige Stammzertifizierungsstellen ebenfalls importieren - diesmal das Zertifikat der eigenen CA (muss wohl auch im PKCS#14-Format sein)

  10. nun den IP-Sicherheitsrichtlinien-Baum öffnen und im rechten Teilfenster die rechte Maustaste drücken

  11. IP-Sicherheitsrichtlinie erstellen und einen Namen festlegen

  12. das Häkchen neben Standardantwortregel aktivieren entfernen

  13. Eigenschaften bearbeiten

  14. Hinzufügen und Diese Regel spezifiziert keinen Tunnel wählen

  15. LAN und Verwenden eines Zertifikats von einer Zertifizierungsstelle

  16. vorher hinzugefügte CA auswählen
  17. neue Filterregel für alle Pakete zwischen den beiden gewünschten Rechnern herstellen

VPNminiHowTo (zuletzt geändert am 2012-06-13 21:26:24 durch anonym)


Creative Commons Lizenzvertrag
This page is licensed under a Creative Commons Attribution-ShareAlike 2.5 License.