Strongswan zu strongswan cert ikev2 site to site
Zur Navigation springen
Zur Suche springen
Grundlegendes
- Wir sehen die fw2 als dynamische IP and die wechseln kann.
fw1
Cert Lokalisierung
- Die Dateien müssen genau an diesen Stellen liegen
- find /etc/ipsec.d/ -type f
/etc/ipsec.d/private/fw1.key /etc/ipsec.d/certs/fw1.crt /etc/ipsec.d/cacerts/ca.crt
/etc/ipsec.conf
- leftcert ist das eigene Zertifikat
- right=0.0.0.0 weil die IP des Gegenübers dynamisch ist. Alternativ würde auch %any gehen.
- rightid ist der Distinguish Name des Gegenübers
- auto=add Damit nicht verbunden wird, das die IP unbekannt ist.
conn s2s-cert authby=rsasig keyexchange=ikev2 left=10.82.227.12 leftcert="fw1.crt" leftsubnet=10.82.243.0/24 right=0.0.0.0 rightid="CN=fw2" rightsubnet=10.82.244.0/24 ike=aes256-sha256-modp4096! esp=aes256-sha256-modp4096! auto=add
/etc/ipsec.secrets
10.82.227.12 : RSA fw1.key ""
fw2
Cert Lokalisierung
- Die Dateien müssen genau an diesen Stellen liegen
- find /etc/ipsec.d/ -type f
/etc/ipsec.d/private/fw2.key /etc/ipsec.d/certs/fw2.crt /etc/ipsec.d/cacerts/ca.crt
/etc/ipsec.conf
- leftcert ist das eigene Zertifikat
- left kann weg gelassen werden da die IP dynamisch ist.
- rightid ist der Distinguish Name des Gegenübers
- right ist die IP des Gegenübers
conn s2s-cert authby=rsasig keyexchange=ikev2 leftcert="fw2.crt" leftsubnet=10.82.244.0/24 right=10.82.227.12 rightid="CN=fw1" rightsubnet=10.82.243.0/24 ike=aes256-sha256-modp4096! esp=aes256-sha256-modp4096! auto=start
/etc/ipsec.secrets
10.82.227.22 : RSA fw2.key ""