palpatine
30.08.2020, aktualisiert um 10:42:03 Uhr
view5417
view8
0
Goto Top

Hilfe bei Strongswan VPN (ikev1)

gelöstFrageNetzwerkeProtokolle
Hallo,

ich versuche, eine IPSec-Client-Verbindung zu konfigurieren, blicke aber bei der Konfiguration von Stronswan nicht durch. Habe bis jetzt immer den Shrew VPN Client benutzt. Leider gibt es den unter Linux Mint 20 LMDE (Debian 10) nicht mehr. Das Plugin für den Network-Manager unterstützt nur ikev2, soweit ich das sehen konnte. Dass ikev1 nicht optimal ist, ist mir bewusst. Es wird bald eine neue Firewall angeschafft und da werden wir auch gleich auf ikev2 umsteigen.

- Die Firewall vergibt die IP-Adressen an die Clients
- Auth über Xauth / PSK bzw. Benutzername + Passwort
- Ich habe das folgende Profil (.vpn), weiß aber nicht was wohin kommt (ipsec.conf etc.)

n:version:4
n:network-ike-port:500
n:client-addr-auto:1
n:network-mtu-size:1380
n:network-natt-port:4500
n:network-natt-rate:20
n:network-dpd-enable:1
n:network-notify-enable:1
n:client-banner-enable:0
n:client-wins-used:1
n:client-wins-auto:1
n:client-dns-used:1
n:client-dns-auto:0
n:client-splitdns-used:1
n:client-splitdns-auto:1
**b:auth-mutual-psk:supergeheimkey**
n:phase1-dhgroup:1
n:phase1-life-secs:86400
n:vendor-chkpt-enable:0
n:phase2-keylen:256
n:phase2-pfsgroup:1
n:phase2-life-secs:28800
n:phase2-life-kbytes:128000
n:policy-nailed:0
n:policy-list-auto:0
n:client-dns-suffix-auto:0
n:phase1-keylen:0
n:phase1-life-kbytes:0
**s:network-host:Gateway-IP**
s:client-auto-mode:pull
s:client-iface:virtual
s:network-natt-mode:enable
s:network-frag-mode:disable
s:client-dns-addr:192.168.100.1
s:client-dns-suffix:meinedomäne.de
s:auth-method:mutual-psk-xauth
s:ident-client-type:ufqdn
**s:ident-client-data:profilname**
s:ident-server-type:any
s:phase1-exchange:aggressive
s:phase1-cipher:3des
s:phase1-hash:sha1
s:phase2-transform:esp-aes
s:phase2-hmac:sha1
s:ipcomp-transform:disabled
s:policy-level:auto
s:policy-list-include:0.0.0.0 / 0.0.0.0

Bin für jede Hilfe dankbar face-smile
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 600810

Url: https://administrator.de/contentid/600810

Ausgedruckt am: 04.11.2024 um 17:11 Uhr

8 Kommentare
Neuester Kommentar
Goto Top
aqui
aqui 30.08.2020 aktualisiert um 11:34:16 Uhr
Goto Top
Vielleicht hilft dir das hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Für IKEv1 ist das identisch du musst lediglich nur den Protokoll Parameter umkonfigurieren und natürlich entfällt der Zertifikats Import.
radiogugu
radiogugu 31.08.2020 um 08:00:33 Uhr
Goto Top
Hallo.

Ich habe unter POP_OS und unter Linux Mint den Shrewsoft Client durch den VPNC VPN Client ersetzt.

apt install network-manager-vpnc-gnome vpnc

Damit lässt sich problemlos eine VPN-Verbindung zu einer Fritzbox beispielsweise aufbauen.

Gruß
Radiogugu
aqui
aqui 31.08.2020 um 08:31:13 Uhr
Goto Top
Mit Strongswan aber auch...
https://www.incertum.net/post/2018/fritzbox-vpn/
https://mlohr.com/fritzbox-lan-2-lan-vpn-with-strongswan/
usw.
radiogugu
radiogugu 31.08.2020 um 09:22:35 Uhr
Goto Top
Zitat von @aqui:

Mit Strongswan aber auch...
https://www.incertum.net/post/2018/fritzbox-vpn/
https://mlohr.com/fritzbox-lan-2-lan-vpn-with-strongswan/
usw.

Keine Frage, wollte nur eine Alternative bieten face-smile

Hatte tatsächlich selbst Probleme unter POP_OS mit Strongswan (und OpenSWAN). Deshalb bin ich dort auf den "alten" Cisco VPN Client gegangen. Dieser hatte anstandslos sofort funktioniert.

Gruß
Radiogugu
aqui
aqui 31.08.2020 um 10:05:42 Uhr
Goto Top
Stimmt, damit gehts natürlich auch ! Linux hat sogar den Shrew VPN Client. Mit apt install ike kann man diesen installieren und hätte dann sogar eine 3te Alternative. face-wink
Der TO kann sich dann das Schönste aussuchen...
Inf1d3l
Inf1d3l 31.08.2020 um 15:04:37 Uhr
Goto Top
Eben nicht, der Shrew wurde in Debian 10 (oder schon 9?) aus den Repositories gekickt, weil er veraltete Pakete braucht. Siehe Topic. Das gleiche gilt für Ubuntu.
aqui
aqui 31.08.2020 um 15:16:54 Uhr
Goto Top
Dann eben Strongswan oder vpnc... face-wink
Palpatine
Palpatine 18.06.2021 aktualisiert um 17:27:36 Uhr
Goto Top
Falls jemand das gleiche Problem hat, hier eine funktionierende Lösung. Einige Einstellungen müssen angepasst werden, je nach FW-Konfiguration.

ipsec.conf

config setup

conn myvpn
        xauth_identity=testuser
        keyexchange=ikev1
        left=%defaultroute
        leftid=yourID@domain
        leftauth=psk
        leftauth2=xauth
        leftsourceip=%config
        right=Gateway-IP
        rightid=yourID@domain
        rightauth=psk
        rightsubnet=0.0.0.0/0
        auto=add
        ike=aes256-sha256-modp2048
        esp=aes256-sha256-modp2048

ipsec.secrets

: PSK yourPSKblahblah

testuser : XAUTH "Password"
gelöstFrageNetzwerkeProtokolle
Mehr von PalpatinePalpatineGrub verschiebenPalpatine - 4 KommentarePalpatineHP Notebook Shift-Tasten funktionieren nicht mehrPalpatine - 5 KommentarePalpatineLeises Klackern beim Abspielen von irgendwasPalpatine - 3 KommentarePalpatineIKEv2 mit Linux MintPalpatine - 5 Kommentare
Heiß diskutiert
NordicMikeDefender soll eine SMB Freigabe scannenNordicMike - 37 KommentareSeekuhrittyOPNSense im Unternehmen (2024)Seekuhritty - 34 KommentareYan2021PDF-Dokument - Meldung für PflichtfelderYan2021 - 23 KommentareMysticFoxDESERVER 2025 - HARDWAREANFORDERUNGEN - Ich habe da einige FragenMysticFoxDE - 23 Kommentaremabue88Kurzzeitige Netzwerkaussetzer bei VM, wenn ESX-Host redundant am Netz hängtmabue88 - 22 KommentarekpunktSmartphones Außendienst (Freitagsfrage)kpunkt - 19 KommentareBosnigelXiaomi und Redmi mit W-LAN ProblemenBosnigel - 18 KommentareDjDomXOPNsense mit Azure verbinden IPsecDjDomX - 16 KommentarechristosmistosSuche Systemadministratoren für Remote- oder Hybrid-Arbeit im Raum Münsterchristosmistos - 14 KommentareU08154711Nginx Proxy Manager mit Crowdsec sichernU08154711 - 14 KommentareRoadrunner74Haken "Immer diese Anwendung zum Öffnen." fehlt in "Öffnen mit"Roadrunner74 - 14 KommentareUeba3baI7 12700K vs Xeon Gold 6246Ueba3ba - 13 Kommentare