palpatine
30.08.2020, aktualisiert um 10:42:03 Uhr
view5464
view8
0
Goto Top

Hilfe bei Strongswan VPN (ikev1)

gelöstFrageNetzwerkeProtokolle
Hallo,

ich versuche, eine IPSec-Client-Verbindung zu konfigurieren, blicke aber bei der Konfiguration von Stronswan nicht durch. Habe bis jetzt immer den Shrew VPN Client benutzt. Leider gibt es den unter Linux Mint 20 LMDE (Debian 10) nicht mehr. Das Plugin für den Network-Manager unterstützt nur ikev2, soweit ich das sehen konnte. Dass ikev1 nicht optimal ist, ist mir bewusst. Es wird bald eine neue Firewall angeschafft und da werden wir auch gleich auf ikev2 umsteigen.

- Die Firewall vergibt die IP-Adressen an die Clients
- Auth über Xauth / PSK bzw. Benutzername + Passwort
- Ich habe das folgende Profil (.vpn), weiß aber nicht was wohin kommt (ipsec.conf etc.)

n:version:4
n:network-ike-port:500
n:client-addr-auto:1
n:network-mtu-size:1380
n:network-natt-port:4500
n:network-natt-rate:20
n:network-dpd-enable:1
n:network-notify-enable:1
n:client-banner-enable:0
n:client-wins-used:1
n:client-wins-auto:1
n:client-dns-used:1
n:client-dns-auto:0
n:client-splitdns-used:1
n:client-splitdns-auto:1
**b:auth-mutual-psk:supergeheimkey**
n:phase1-dhgroup:1
n:phase1-life-secs:86400
n:vendor-chkpt-enable:0
n:phase2-keylen:256
n:phase2-pfsgroup:1
n:phase2-life-secs:28800
n:phase2-life-kbytes:128000
n:policy-nailed:0
n:policy-list-auto:0
n:client-dns-suffix-auto:0
n:phase1-keylen:0
n:phase1-life-kbytes:0
**s:network-host:Gateway-IP**
s:client-auto-mode:pull
s:client-iface:virtual
s:network-natt-mode:enable
s:network-frag-mode:disable
s:client-dns-addr:192.168.100.1
s:client-dns-suffix:meinedomäne.de
s:auth-method:mutual-psk-xauth
s:ident-client-type:ufqdn
**s:ident-client-data:profilname**
s:ident-server-type:any
s:phase1-exchange:aggressive
s:phase1-cipher:3des
s:phase1-hash:sha1
s:phase2-transform:esp-aes
s:phase2-hmac:sha1
s:ipcomp-transform:disabled
s:policy-level:auto
s:policy-list-include:0.0.0.0 / 0.0.0.0

Bin für jede Hilfe dankbar face-smile
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 600810

Url: https://administrator.de/contentid/600810

Ausgedruckt am: 23.11.2024 um 10:11 Uhr

8 Kommentare
Neuester Kommentar
Goto Top
aqui
aqui 30.08.2020 aktualisiert um 11:34:16 Uhr
Goto Top
Vielleicht hilft dir das hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Für IKEv1 ist das identisch du musst lediglich nur den Protokoll Parameter umkonfigurieren und natürlich entfällt der Zertifikats Import.
radiogugu
radiogugu 31.08.2020 um 08:00:33 Uhr
Goto Top
Hallo.

Ich habe unter POP_OS und unter Linux Mint den Shrewsoft Client durch den VPNC VPN Client ersetzt.

apt install network-manager-vpnc-gnome vpnc

Damit lässt sich problemlos eine VPN-Verbindung zu einer Fritzbox beispielsweise aufbauen.

Gruß
Radiogugu
aqui
aqui 31.08.2020 um 08:31:13 Uhr
Goto Top
Mit Strongswan aber auch...
https://www.incertum.net/post/2018/fritzbox-vpn/
https://mlohr.com/fritzbox-lan-2-lan-vpn-with-strongswan/
usw.
radiogugu
radiogugu 31.08.2020 um 09:22:35 Uhr
Goto Top
Zitat von @aqui:

Mit Strongswan aber auch...
https://www.incertum.net/post/2018/fritzbox-vpn/
https://mlohr.com/fritzbox-lan-2-lan-vpn-with-strongswan/
usw.

Keine Frage, wollte nur eine Alternative bieten face-smile

Hatte tatsächlich selbst Probleme unter POP_OS mit Strongswan (und OpenSWAN). Deshalb bin ich dort auf den "alten" Cisco VPN Client gegangen. Dieser hatte anstandslos sofort funktioniert.

Gruß
Radiogugu
aqui
aqui 31.08.2020 um 10:05:42 Uhr
Goto Top
Stimmt, damit gehts natürlich auch ! Linux hat sogar den Shrew VPN Client. Mit apt install ike kann man diesen installieren und hätte dann sogar eine 3te Alternative. face-wink
Der TO kann sich dann das Schönste aussuchen...
Inf1d3l
Inf1d3l 31.08.2020 um 15:04:37 Uhr
Goto Top
Eben nicht, der Shrew wurde in Debian 10 (oder schon 9?) aus den Repositories gekickt, weil er veraltete Pakete braucht. Siehe Topic. Das gleiche gilt für Ubuntu.
aqui
aqui 31.08.2020 um 15:16:54 Uhr
Goto Top
Dann eben Strongswan oder vpnc... face-wink
Palpatine
Palpatine 18.06.2021 aktualisiert um 17:27:36 Uhr
Goto Top
Falls jemand das gleiche Problem hat, hier eine funktionierende Lösung. Einige Einstellungen müssen angepasst werden, je nach FW-Konfiguration.

ipsec.conf

config setup

conn myvpn
        xauth_identity=testuser
        keyexchange=ikev1
        left=%defaultroute
        leftid=yourID@domain
        leftauth=psk
        leftauth2=xauth
        leftsourceip=%config
        right=Gateway-IP
        rightid=yourID@domain
        rightauth=psk
        rightsubnet=0.0.0.0/0
        auto=add
        ike=aes256-sha256-modp2048
        esp=aes256-sha256-modp2048

ipsec.secrets

: PSK yourPSKblahblah

testuser : XAUTH "Password"
gelöstFrageNetzwerkeProtokolle
Mehr von PalpatinePalpatineGrub verschiebenPalpatine - 4 KommentarePalpatineHP Notebook Shift-Tasten funktionieren nicht mehrPalpatine - 5 KommentarePalpatineLeises Klackern beim Abspielen von irgendwasPalpatine - 3 KommentarePalpatineIKEv2 mit Linux MintPalpatine - 5 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 14 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareSarekHLLegaler Einsatz vom M365 Family in Business-UmgebungSarekHL - 11 Kommentare