IPSEC-VPN Openswan zu IOS-Router: Unterschied zwischen den Versionen

Aus Knowledgebase
Zur Navigation springen Zur Suche springen
K (PSK)
 
(kein Unterschied)

Aktuelle Version vom 7. September 2010, 19:29 Uhr

Dies ist eine Musterkonfiguration für ein Site2Site-VPN zwischen IOS-Router und Openswan (2.4.12) unter Linux mit Pre-Shared-Key.

Cisco IOS 12.4

crypto keyring mypsks
 pre-shared-key address 217.28.96.242 key oogaimu8iesh9haeShah5ahkaeyuphah
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp profile vgr-tunnels
   keyring mypsks
   match identity address 217.28.96.242 255.255.255.255
!
crypto ipsec transform-set 3des esp-3des esp-md5-hmac
!
crypto map vgr-ci 1 ipsec-isakmp
 set peer 217.28.96.242
 set transform-set 3des
 set isakmp-profile vgr-tunnels
 match address VGR-CI
!
interface Dialer1
 […]
 crypto map vgr-ci
!
ip access-list extended NAT
 remark IPSEC-Tunnels muessen vom NAT ausgenommen werden
 deny   ip 192.168.30.0 0.0.0.255 192.168.31.0 0.0.0.255
 permit ip 192.168.30.0 0.0.0.255 any
!
ip access-list extended VGR-CI
 permit ip 192.168.30.0 0.0.0.255 192.168.31.0 0.0.0.255

Cisco IOS 12.3

Bei IOS 12.3 muss zwingend der PFS-Parameter in der Cryptomap übergeben werden, bei 12.4 nicht.

crypto map vpn 1 ipsec-isakmp 
 […]
 set pfs group2

Linux-Seite

Beispiel anhand Openswan. Die Lifetimes sind auf die Defaults der Cisco-Seite angepasst.

  • /etc/ipsec.secrets (relevanter Ausschnitt):
217.28.96.242 87.139.87.89 : PSK "oogaimu8iesh9haeShah5ahkaeyuphah"
  • /etc/ipsec.conf (relevanter Ausschnitt):
conn ciscorouter
       right=%defaultroute
       rightsubnet=192.168.31.0/24
       left=87.139.87.89
       leftsubnet=192.168.30.0/24
       type=tunnel
       ike=3des-md5
       ikelifetime=24h
       esp=3des-md5
       keylife=1h
       compress=no
       authby=secret
       auto=start
       dpdaction=restart

Danach muß die Konfiguration neu eingelesen und die Connection gestartet werden:

ipsec auto --rereadall
ipsec auto --up ciscorouter

Debugging

Auf Ciscoseite muß die Connection nach dem uppen angezeigt werden:

ciscorouter#show crypto isakmp sa
dst             src             state          conn-id slot status
87.139.88.81    217.28.99.242   QM_IDLE             20    0 ACTIVE

Auf Leitrixseite taucht die Connection ebenfalls auf (Auszug aus ipsec auto --status):

000 "ci-vgr":   ike_life: 86400s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "ci-vgr":   policy: PSK+ENCRYPT+TUNNEL+PFS+UP; prio: 24,32; interface: eth0; encap: esp;
000 "ci-vgr":   newest ISAKMP SA: #3; newest IPsec SA: #6; 
000 "ci-vgr":   IKE algorithms wanted: 3DES_CBC(5)_000-MD5(1)-MODP1536(5), 3DES_CBC(5)_000-MD5(1)-MODP1024(2); flags=strict
000 "ci-vgr":   IKE algorithms found: 3DES_CBC(5)_192-MD5(1)_128-MODP1536(5), 3DES_CBC(5)_192-MD5(1)_128-MODP1024(2)
000 "ci-vgr":   IKE algorithm newest: 3DES_CBC_192-MD5-MODP1024
000 "ci-vgr":   ESP algorithms wanted: 3DES(3)_000-MD5(1); flags=strict
000 "ci-vgr":   ESP algorithms loaded: 3DES(3)_000-MD5(1); flags=strict
000 "ci-vgr":   ESP algorithm newest: 3DES_0-HMAC_MD5; pfsgroup=<Phase1>
000 #6: "ci-vgr":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 225s; newest IPSEC; eroute owner
000 #6: "ci-vgr" esp.4c926aae@87.139.87.89 esp.fbd61652@217.28.96.242 tun.0@87.139.87.89 tun.0@217.28.96.242
000 #3: "ci-vgr":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 83220s; newest ISAKMP; lastdpd=-1s(seq in:0 out:0)