IPSEC-VPN Openswan zu IOS-Router
Zur Navigation springen
Zur Suche springen
Dies ist eine Musterkonfiguration für ein Site2Site-VPN zwischen IOS-Router und Openswan (2.4.12) unter Linux mit Pre-Shared-Key.
Cisco IOS 12.4
crypto keyring mypsks pre-shared-key address 217.28.96.242 key oogaimu8iesh9haeShah5ahkaeyuphah ! crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 ! crypto isakmp profile vgr-tunnels keyring mypsks match identity address 217.28.96.242 255.255.255.255 ! crypto ipsec transform-set 3des esp-3des esp-md5-hmac ! crypto map vgr-ci 1 ipsec-isakmp set peer 217.28.96.242 set transform-set 3des set isakmp-profile vgr-tunnels match address VGR-CI ! interface Dialer1 […] crypto map vgr-ci ! ip access-list extended NAT remark IPSEC-Tunnels muessen vom NAT ausgenommen werden deny ip 192.168.30.0 0.0.0.255 192.168.31.0 0.0.0.255 permit ip 192.168.30.0 0.0.0.255 any ! ip access-list extended VGR-CI permit ip 192.168.30.0 0.0.0.255 192.168.31.0 0.0.0.255
Cisco IOS 12.3
Bei IOS 12.3 muss zwingend der PFS-Parameter in der Cryptomap übergeben werden, bei 12.4 nicht.
crypto map vpn 1 ipsec-isakmp […] set pfs group2
Linux-Seite
Beispiel anhand Openswan. Die Lifetimes sind auf die Defaults der Cisco-Seite angepasst.
- /etc/ipsec.secrets (relevanter Ausschnitt):
217.28.96.242 87.139.87.89 : PSK "oogaimu8iesh9haeShah5ahkaeyuphah"
- /etc/ipsec.conf (relevanter Ausschnitt):
conn ciscorouter
right=%defaultroute
rightsubnet=192.168.31.0/24
left=87.139.87.89
leftsubnet=192.168.30.0/24
type=tunnel
ike=3des-md5
ikelifetime=24h
esp=3des-md5
keylife=1h
compress=no
authby=secret
auto=start
dpdaction=restart
Danach muß die Konfiguration neu eingelesen und die Connection gestartet werden:
ipsec auto --rereadall ipsec auto --up ciscorouter
Debugging
Auf Ciscoseite muß die Connection nach dem uppen angezeigt werden:
ciscorouter#show crypto isakmp sa dst src state conn-id slot status 87.139.88.81 217.28.99.242 QM_IDLE 20 0 ACTIVE
Auf Leitrixseite taucht die Connection ebenfalls auf (Auszug aus ipsec auto --status):
000 "ci-vgr": ike_life: 86400s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0 000 "ci-vgr": policy: PSK+ENCRYPT+TUNNEL+PFS+UP; prio: 24,32; interface: eth0; encap: esp; 000 "ci-vgr": newest ISAKMP SA: #3; newest IPsec SA: #6; 000 "ci-vgr": IKE algorithms wanted: 3DES_CBC(5)_000-MD5(1)-MODP1536(5), 3DES_CBC(5)_000-MD5(1)-MODP1024(2); flags=strict 000 "ci-vgr": IKE algorithms found: 3DES_CBC(5)_192-MD5(1)_128-MODP1536(5), 3DES_CBC(5)_192-MD5(1)_128-MODP1024(2) 000 "ci-vgr": IKE algorithm newest: 3DES_CBC_192-MD5-MODP1024 000 "ci-vgr": ESP algorithms wanted: 3DES(3)_000-MD5(1); flags=strict 000 "ci-vgr": ESP algorithms loaded: 3DES(3)_000-MD5(1); flags=strict 000 "ci-vgr": ESP algorithm newest: 3DES_0-HMAC_MD5; pfsgroup=<Phase1> 000 #6: "ci-vgr":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 225s; newest IPSEC; eroute owner 000 #6: "ci-vgr" esp.4c926aae@87.139.87.89 esp.fbd61652@217.28.96.242 tun.0@87.139.87.89 tun.0@217.28.96.242 000 #3: "ci-vgr":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 83220s; newest ISAKMP; lastdpd=-1s(seq in:0 out:0)