PoC: PSK

2010-09-07T18:29:17Z

PSK

Neue Seite

Dies ist eine Musterkonfiguration für ein Site2Site-VPN zwischen '''IOS-Router''' und '''Openswan''' (2.4.12) unter Linux mit Pre-Shared-Key.

== Cisco IOS 12.4 ==
crypto keyring mypsks
pre-shared-key address 217.28.96.242 key oogaimu8iesh9haeShah5ahkaeyuphah
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp profile vgr-tunnels
keyring mypsks
match identity address 217.28.96.242 255.255.255.255
!
crypto ipsec transform-set 3des esp-3des esp-md5-hmac
!
crypto map vgr-ci 1 ipsec-isakmp
set peer 217.28.96.242
set transform-set 3des
set isakmp-profile vgr-tunnels
match address VGR-CI
!
interface Dialer1
[…]
crypto map vgr-ci
!
ip access-list extended NAT
remark IPSEC-Tunnels muessen vom NAT ausgenommen werden
deny ip 192.168.30.0 0.0.0.255 192.168.31.0 0.0.0.255
permit ip 192.168.30.0 0.0.0.255 any
!
ip access-list extended VGR-CI
permit ip 192.168.30.0 0.0.0.255 192.168.31.0 0.0.0.255

== Cisco IOS 12.3 ==
Bei IOS 12.3 muss zwingend der PFS-Parameter in der Cryptomap übergeben werden, bei 12.4 nicht.

crypto map vpn 1 ipsec-isakmp
[…]
set pfs group2

== Linux-Seite ==
Beispiel anhand Openswan. Die Lifetimes sind auf die Defaults der Cisco-Seite angepasst.

* ''/etc/ipsec.secrets'' (relevanter Ausschnitt):
217.28.96.242 87.139.87.89 : PSK "oogaimu8iesh9haeShah5ahkaeyuphah"

* ''/etc/ipsec.conf'' (relevanter Ausschnitt):
conn ciscorouter
right=%defaultroute
rightsubnet=192.168.31.0/24
left=87.139.87.89
leftsubnet=192.168.30.0/24
type=tunnel
ike=3des-md5
ikelifetime=24h
esp=3des-md5
keylife=1h
compress=no
authby=secret
auto=start
dpdaction=restart

Danach muß die Konfiguration neu eingelesen und die Connection gestartet werden:
ipsec auto --rereadall
ipsec auto --up ciscorouter

=== Debugging ===
Auf Ciscoseite muß die Connection nach dem uppen angezeigt werden:
ciscorouter#show crypto isakmp sa
dst src state conn-id slot status
87.139.88.81 217.28.99.242 QM_IDLE 20 0 ACTIVE

Auf Leitrixseite taucht die Connection ebenfalls auf (Auszug aus ''ipsec auto --status''):
000 "ci-vgr": ike_life: 86400s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "ci-vgr": policy: PSK+ENCRYPT+TUNNEL+PFS+UP; prio: 24,32; interface: eth0; encap: esp;
000 "ci-vgr": newest ISAKMP SA: #3; newest IPsec SA: #6;
000 "ci-vgr": IKE algorithms wanted: 3DES_CBC(5)_000-MD5(1)-MODP1536(5), 3DES_CBC(5)_000-MD5(1)-MODP1024(2); flags=strict
000 "ci-vgr": IKE algorithms found: 3DES_CBC(5)_192-MD5(1)_128-MODP1536(5), 3DES_CBC(5)_192-MD5(1)_128-MODP1024(2)
000 "ci-vgr": IKE algorithm newest: 3DES_CBC_192-MD5-MODP1024
000 "ci-vgr": ESP algorithms wanted: 3DES(3)_000-MD5(1); flags=strict
000 "ci-vgr": ESP algorithms loaded: 3DES(3)_000-MD5(1); flags=strict
000 "ci-vgr": ESP algorithm newest: 3DES_0-HMAC_MD5; pfsgroup=<Phase1>
000 #6: "ci-vgr":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 225s; newest IPSEC; eroute owner
000 #6: "ci-vgr" esp.4c926aae@87.139.87.89 esp.fbd61652@217.28.96.242 tun.0@87.139.87.89 tun.0@217.28.96.242
000 #3: "ci-vgr":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 83220s; newest ISAKMP; lastdpd=-1s(seq in:0 out:0)

[[Kategorie:Cisco]]
[[Kategorie:Linux]]
[[Kategorie:Crypto]]
[[Kategorie:Netzwerk]]
[[Kategorie:Internet]]

IPSEC-VPN Openswan zu IOS-Router - Versionsgeschichte

PoC: PSK