IPSEC-VPN Openswan mit IPv6

Aus Knowledgebase
Wechseln zu: Navigation, Suche

Dies ist eine Musterkonfiguration für ein Site2Site-VPN zwischen Openswan unter Linux mit IPv6 und Pre-Shared-Key. Wie das ganze mit RSA-Keys geht, siehe Openswan-VPN mit RSA-Signaturen.

  • /etc/ipsec.secrets (relevanter Ausschnitt):
2001:6f8:1296:1:210:18ff:fe06:7c06 2001:6f8:1176:0:200:92ff:fe93:501c : PSK "ug8uLu0aiqueetah5ush2yoghieh7phu"
  • /etc/ipsec.conf (relevanter Ausschnitt):
conn leela-ci-v6
       connaddrfamily=ipv6
       left=2001:6f8:1296:1:210:18ff:fe06:7c06
       right=2001:6f8:1176:0:200:92ff:fe93:501c
       type=transport
       authby=secret
       auto=start
       dpdaction=restart
       ike=aes256-sha1
       esp=aes256-sha1
       compress=yes

Danach muß die Konfiguration neu eingelesen und die Connection gestartet werden:

ipsec auto --rereadall
ipsec auto --up leela-ci-v6
ipsec auto --status |fgrep leela-ci-v6
000 "leela-ci-v6": 2001:6f8:1296:1:210:18ff:fe06:7c06...2001:6f8:1176:0:200:92ff:fe93:501c; erouted; eroute owner: #79
000 "leela-ci-v6":     srcip=unset; dstip=unset; srcup=ipsec _updown; dstup=ipsec _updown;
000 "leela-ci-v6":   ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "leela-ci-v6":   policy: PSK+ENCRYPT+COMPRESS+PFS; prio: 128,128; interface: eth0; encap: esp;
000 "leela-ci-v6":   newest ISAKMP SA: #78; newest IPsec SA: #79; 
000 "leela-ci-v6":   IKE algorithms wanted: AES_CBC(7)_256-SHA1(2)-MODP1536(5), AES_CBC(7)_256-SHA1(2)-MODP1024(2); flags=strict
000 "leela-ci-v6":   IKE algorithms found: AES_CBC(7)_256-SHA1(2)_160-MODP1536(5), AES_CBC(7)_256-SHA1(2)_160-MODP1024(2)
000 "leela-ci-v6":   IKE algorithm newest: AES_CBC_256-SHA1-MODP1536
000 "leela-ci-v6":   ESP algorithms wanted: AES(12)_256-SHA1(2); flags=strict
000 "leela-ci-v6":   ESP algorithms loaded: AES(12)_256-SHA1(2); flags=strict
000 "leela-ci-v6":   ESP algorithm newest: AES_256-HMAC_SHA1; pfsgroup=<Phase1>
000 #79: "leela-ci-v6":500 STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 26429s; newest IPSEC; eroute owner
000 #79: "leela-ci-v6" esp:ba6cb75d@2001:6f8:1176:0:200:92ff:fe93:501c esp:e1b7909e@2001:6f8:1296:1:210:18ff:fe06:7c06 comp:eb21@2001:6f8:1176:0:200:92ff:fe93:501c comp:d2b3@2001:6f8:1296:1:210:18ff:fe06:7c06
000 #78: "leela-ci-v6":500 STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 1228s; newest ISAKMP; lastdpd=-1s(seq in:0 out:0)