Centos-6
Zur Navigation springen
Zur Suche springen
Interface Konfiguration
vi /etc/sysconfig/network-scripts/ifcfg-eth0
- DEVICE="eth0"
- Gibt den Namen der Schnittstelle an
- HWADDR="08:00:27:35:E9:2B"
- Gibt die MAC-Adresse an
- ONBOOT="yes"
- Gibt an ob die Schnittstelle beim booten gestartet werden soll
- IPADDR="192.168.0.100"
- Gibt die IP-Adresse der Schnittstelle an
- NETMASK="255.255.255.0"
- Gibt die Netzmaske der Schnittstelle an
- GATEWAY="192.168.0.1"
- Gibt den default Router an
Hostname ändern
- http://www.rackspace.com/knowledge_center/article/centos-hostname-change
- hostnamectl set-hostname saul.xinux.org
ssh enablen
chkconfig sshd on
firewall
openswan
Installation
yum install openswan nss-tools ipsec-tools mkdir /root/certs echo "1" > /proc/sys/net/ipv4/ip_forward
Zertifikaterstellung
Auf ezri liegt das makepki-Tool.
makepki cert $HOSTNAME tar cfvz $HOSTNAME.tgz $HOSTNAME.* ca.crt ca.crl scp $HOSTNAME.tgz $HOSTNAME:/root/certs
Auf dem Centossystem:
cd /root/certs tar xfv $HOSTNAME.tgz
nss Zertifikate in Datenbank pflegen
- Standard DB-TYPE wird hiermit angegeben:
export NSS_DEFAULT_DB_TYPE="sql"
- Neue Zertifikat-Datenbank (LEERE PASSWÖRTER BENUTZEN!)
certutil -N -d /etc/ipsec.d
- P12 import
pk12util -i certkey.p12 -d /etc/ipsec.d
- Name von dem Zertifikat in der nss-Datenbank anzeigen
certutil -L -d /etc/ipsec.d
- Beispiel:
[root@centos64 ~]# export NSS_DEFAULT_DB_TYPE="sql" [root@centos64 ~]# certutil -L -d /etc/ipsec.d Certificate Nickname Trust Attributes SSL,S/MIME,JAR/XPI '''centos64.xinux''' (##BEISPIEL-ZERTIFIKATSNAME) u,u,u xinux-ca ,,
- Neue Datei erstellen mit dem Inhalt:
vi /etc/ipsec.d/nss.certs Inhalt: @fqdn: RSA "name of certificate in nss db" ""
Beispiel: @centos64.xinux: RSA "centos64.xinux" ""
ipsec.conf
vi /etc/ipsec.conf
version 2.0 # conforms to second version of ipsec.conf specification config setup protostack=netkey nat_traversal=yes virtual_private= oe=off conn $CENTOSHOSTNAME-$GEGENSEITEHOSTNAME authby=rsasig left=$IP-GEGENSEITE leftrsasigkey=%cert leftid="C=de, ST=pfalz, L=zw, OU=edv, CN=$CN-GEGENSEITE, E=technik@xinux.de" (CN gibt man bei makepki an...) leftsubnet=$SUBNET-GEGENSEITE right=$IP-CENTOS rightcert=centos64.xinux ('''Das Zertifikat aus der NSS-Bank muss benutzt werden!''') rightid="C=de, ST=pfalz, L=zw, OU=edv, CN=$CN-CENTOS, E=technik@xinux.de" (CN gibt man bei makepki an...) rightrsasigkey=%cert rightsubnet=$SUBNET-CENTOS ike=3des-md5-modp1024 esp=3des-md5-96 pfs=yes auto=start
ACHTUNG!
Die Paramter/subjects der Zertifikate bei "leftid/rightid" auslesen lassen mit:
openssl x509 -noout -subject -serial -in $ERSTELLTESCERTFÜRHOST.crt
ipsec neustarten
service ipsec restart ipsec verify
ipsec auto --add $CENTOSHOSTNAME-$GEGENSEITEHOSTNAME (Die VPN, welche in der ipsec.conf angegeben wurde) ipsec auto --up $CENTOSHOSTNAME-$GEGENSEITEHOSTNAME
tail -f /var/log/messages