Strongswan IPSEC Linux PSK - Security und Firewall Labor

Vorbereitung

• Wir installieren zuerst den smb.it2XX.int
• smb.it2XX.int

Schaubild

[Bearbeiten]

Kenndaten

Firewall

Wir gehen davon aus, das ausgehender Verkehr freigeschaltet ist.

• Die Gegenseite muss zu unserer Firewall UDP Port 500 und ESP Verbindungen aufbauen können.
• Desweiteren müssen die Partnernetze zu unseren Netzen in der Forward-Kette freigeschaltet werden.
• Wir werden die letzte Regel später noch etwas modifizieren.
• NFtables - Strongswan IPSEC Linux PSK - Security und Firewall Labor

Installation

• Diese Einstellung kann auf beiden Seiten gleich angewendet werden (bis auf die IPs)
• apt install strongswan
• XX eigene Seite, gegenüberliegende Seite YY

Einrichtung

• vim /etc/ipsec.conf

conn site2site-psk
     authby=secret
     keyexchange=ikev2
     mobike=no
     left=192.168.hs.2XX
     leftsubnet=172.26.2XX.0/24,10.2XX.1.0/24
     right=192.168.hs.2YY
     rightsubnet=172.26.2YY.0/24,10.2YY.1.0/24
     ike=aes256-sha256-modp4096!
     esp=aes256-sha256-modp4096!
     auto=start

Beide

• Wenn beide Seiten den Schlüssel haben, trägt man ihn in die Datei ipsec.secrets ein.
• vim /etc/ipsec.secrets

192.168.hs.2XX 192.168.hs.2YY : PSK "123Start$-Kit"

Handling

• Nun sollte man die IPsec Verbindung aufbauen können.
• ipsec up site2site-psk
• Verbindung herunterfahren
• ipsec down site2site-psk
• Verbindung status
• ipsec status site2site-psk
• Den Status der Verbindung kann man mit ipsec statusall checken.
• Falls die Verbindung steht, sollte ein Ping in das gegenüberliegende Netz funktionieren.
• ping -I 172.26.2XX.1 172.26.2YY.1

Weitere Tests

• Pingt von eurem Client die IP des Partner-SMB-Servers an.
• Versucht euch per SSH dort einzuloggen.
• Schneidet auf der LAN-Schnittstelle den Traffic zur Gegenseite mit (tcpdump).
• Schneidet auf der WAN-Schnittstelle den Traffic mit (tcpdump) — interessant sind Port 500 und ESP.
• Fahrt das VPN hoch und runter und beobachtet was passiert.