06.12.2016

4712

IPsec - .conf und .secret erstellen aus Gruppe und User

Hallo,

ich habe folgendes Anliegen. Ich möchte einen Fernwirkcontroller mit einem VPN verbinden. Mein IT-Administrator gab mir für den Zugang zum VPN die IP-Adresse das VPN-Gateways(IPsec), die IP-Adresse die mein Gerät bekommt, sowie Gruppe- und Benutzername mit dem zugehörigem Passwort. Getestet wurde der Zugang beim einrichten mit einem Cisco VPN Client.

Leider will der Fernwirkcontroller aber von mir eine ipsec.conf und eine ipsec.secrets haben. Nach langem suchen im Internet komme ich nicht weiter.

Wie erstelle ich aus den Angaben vom Admin, die beiden Dateien? Danke für eure Hilfe!

Gruß

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 322990

Url: https://administrator.de/contentid/322990

Ausgedruckt am: 22.11.2024 um 12:11 Uhr

26 Kommentare

Neuester Kommentar

Moin,

Gegenfrage: Was spricht dagegen den Admin selbst zu fragen?

Gruss

Sein Aussage war: "Die Dateien muss ich mir selbst erstellen"

Linux?

Schau mal ob unter /etc/ipsec.secrets und /etc/ipsec.conf Dateien editiert werden können.
Die Einstellungen sind oft auskommentiert.

Hallo,

Zitat von @MaxMLe:
einen Fernwirkcontroller mit einem VPN verbinden.

Was genau will dein unbekannter Fern wirkcontroller denn haben? Was soll in den Dateien stehen? IPSesc ala Fritz oder Cisco? PSK (Pre Shared Key) oder Zertifikatsbasierend? Ikev1 oder Ikev2?

Mein IT-Administrator gab mir für den Zugang zum VPN die IP-Adresse das VPN-Gateways(IPsec), die IP-Adresse die mein Gerät bekommt, sowie Gruppe- und Benutzername mit dem zugehörigem Passwort.

Also PSK.

Getestet wurde der Zugang beim einrichten mit einem Cisco VPN Client.

Und dein unbekannter Fern wirkcontroller kommt damit klar? Was sagt dessen hersteller oder das Handbuch was es erwartet?

https://de.wikipedia.org/wiki/IPsec
http://www.unixwiz.net/techtips/iguide-ipsec.html
http://www.freeswan.org/freeswan_trees/CURRENT-TREE/doc/manpage.d/ipsec ...
https://wiki.strongswan.org/projects/strongswan/wiki/ConnSection
https://wiki.strongswan.org/projects/1/wiki/IpsecSecrets

Gruß,
Peter

Die Anleitung des Fernwirkcontrollers(WAGO 750-8207 PFC200 3G TELE /T) ist nichtssagend. Ob er damit klar kommt, keine Ahnung.

So sieht das Uploadformular in der Weboberfläche aus.

Die Seiten, auf die deine Links verweisen, habe ich bei meiner Suche heute auch schon angesehen. Mir helfen sie leider nicht weiter.

Hallo,

Zitat von @MaxMLe:
Die Anleitung des Fernwirkcontrollers(WAGO 750-8207 PFC200 3G TELE /T) ist nichtssagend.

Die sieht aber nicht nichtsagend aus.

Ob er damit klar kommt, keine Ahnung.

Mit Sicherheit.
Was habe ich schon im Datenblatt gelesen, da wird das Handbuch noch weitaus mehr bieten.
Linux OS
Cortex A8 CPU
OpenVPN und sein IPSec
Zertifikate für OpenVPN

Die Seiten, auf die deine Links verweisen, habe ich bei meiner Suche heute auch schon angesehen. Mir helfen sie leider nicht weiter.

Dann sprich mit den Admin der euch das VPN ermöglicht. VPN ist nicht mal eben wie Mickey Maus zu lesen. Nicht jeder kennt die Spezialbegriffe rund um einer SPS und hält vieles für die Beilagen zu einer Schale Pommes.

Gruß,
Peter

Zitat von @Pjordorf:

Mit Sicherheit.
Was habe ich schon im Datenblatt gelesen, da wird das Handbuch noch weitaus mehr bieten.

Wäre mir neu, dass das Datenblatt eine Vorschau vom Handbuch ist

Du kannst diese Anleitung Link, ja gerne mal nach IPsec durchsuchen. Sie hilft dem Benutzer absolut nicht. Alles was dort drin steht, ist selbsterklärend und nicht ausreichend für mein Problem.

Ich werde nochmal mit dem Admin reden. Trotzdem danke

Grundlagen und HowTos zu dem Thema findest du auch hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a

IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Hallo,

Zitat von @MaxMLe:
Wäre mir neu, dass das Datenblatt eine Vorschau vom Handbuch ist

Ganz grob gesagt, teils ist es das. Ich erwarte nicht in ein Handbuch für ein SPS Element die Grundlagen zu IPSec zu finden. Da sind genug Begriffe aufgeführt um dich an enstrechenden Stellen weiter zu Informieren.

ja gerne mal nach IPsec durchsuchen.

Seite 7, 97, 152, 153, 394, 395
Ab Seite 152 wird aber genug von VPN , OpenVPN und die zu erwartende Parameter geredet. Eine suche nach OpenVPN sollte dir mal als genug Lesestoff bieten. Und euer Admin sollte schon mal was von OpenVPN gehört haben wenn der auch für euer VPN zuständig ist.

ist selbsterklärend

Dann solltest du ja keine Fragen mehr haben, oder?

und nicht ausreichend für mein Problem.

Deshalb zu Admin gehen der bei euch für VPN zuständig ist (aber vielleicht ist das der falsche Ansprechpartner), ansonsten mal
https://openvpn.net/index.php/access-server/docs/admin-guides-sp-8595431 ...
https://openvpn.net/index.php/open-source/documentation/howto.html
https://wiki.ubuntuusers.de/OpenVPN/
...

Gruß,
Peter

Zitat von @Pjordorf:

ja gerne mal nach IPsec durchsuchen.

Wenn du jetzt noch die Seiten durchgelesen hättest, um zu schauen welche davon zur Lösung meines Problems beiträgt, hättest du dir den Text sparen können.

ist selbsterklärend

Dann solltest du ja keine Fragen mehr haben, oder?

Wirklich?... Ich suche hier qualifizierte Ratschläge zur Lösung meines Problems.

und nicht ausreichend für mein Problem.

OpenVPN steht nicht zu Wahl. Es muss IPsec sein.

Du kannst ja sehen das die IPsec Konfig des WAGO Controller etwas speziell ist.
Wenn du dir die beiden o.a. Tutorials mal genauer ansiehst erkennst du ja das die IPsec Komponenten aller dieser Router und Firewalls sich mehr oder weniger gleichen.
Du hast also die Phase1 und 2 Konfigs, Tunnel Endpoint IPs etc. alles irgendwie gleich.

All das hat aber deine WAGO Gurke nicht ! Sprich deren Konfig ist grundlegend anders.
Das lässt auch dein oben gepostetes GUI vermuten, denn das fragt nach diesen 2 Konfig Dateien.
Es sieht also so aus als ob du mit einem externen Tool oder einem Text Editor diese Dateien erzeugen musst um sie dann in die Wago Kiste hochzuladen.

Sprich also ohne dieses Tool oder die Aussage WIE diese Dateien auszusehen haben und was dadrin in welchem Format stehen muss kommen wir nicht weiter !
Genau das ist Hersteller spezifisch und muss im WAGO Handbuch auch irgendwie so drinstehen.
Ohne das du uns Informationen gibst wie diese beiden Dateien zu erzeugen sind und wie diese auszusehen haben kommen wir keinen Schritte weiter.
Klar das da irgendwie alle Phase 1 und 2 Daten und die Passwörter drinstehen. Nur wie und in welchem Format so das der Router das beim Upload auch versteht...genau DAS ist hier die Kardinalsfrage !!
Und die kannst nur DU beantworten !
Oder Wago natürlich...

Ok, dann werde ich mich bei WAGO erkundigen, wie das korrekte Format der Dateien auszusehen hat.

Vielen Dank für deine Antwort

Das ist der richtige Schritt ! Vielleicht reicht auch einfach mal das Handbuch lesen ! Dort sollte doch wenigstens dokumentiert sein wie das zu machen ist.

Wenn du das dann rausbekommen hast machen wir weiter hier

Hallo,

Zitat von @MaxMLe:
Ok, dann werde ich mich bei WAGO erkundigen

Ich denke das hast du alles schon gemacht. In deren Handbüchern ist es dürftig mit konkreten Hinweisen. Vielleicht findet sich hier ein Beispiel.

Gruß,
Peter

URL oben gibt einen Error

Unexpected error: Required java.lang.String parameter 'name' is not present (MissingServletRequestParameterException)

Hi,

Zitat von @aqui:
URL oben gibt einen Error

Sollte jetzt gehen. Ob es das Fragezeichen oder der erste umgekehrte Schrägstrich war, kann ich nicht sagen. Manche Links wollen nicht hier rein gestellt werden.

Gruß,
Peter

Moin Moin,

also wie Pjordorf schon sagt, die Bedienungsanleitung ist sehr dürftig.

Auf der ISO ist leider nur die Programmiersoftware. Bsp. für einen VPN-Tunnel ist leider nicht enthalten.

Ich habe heute mit jemandem vom WAGO Support sprechen können. Er meinte, die Angaben die ich habe reichen nicht aus. Ich soll mir vom Admin die Conig-Dateien geben lassen...

Infos die ich bis jetzt gesammelt habe:

Mein Admin arbeitet mit IPSec auf Cisco Basis
Ich habe die IP des Gateways, die IP die mein Gerät bekommen soll, eine Gruppe mit Passwort, einen User mit Paswort
Der Fernwirkcontroller nutzt strongSwan für die IPSec-Verbindung

womit wir wieder bei Post Nummer 1 sind: Frag den Admin

Er meinte, die Angaben die ich habe reichen nicht aus. Ich soll mir vom Admin die Conig-Dateien geben lassen...

Na der ist ja vielleicht witzig oder du hast das falsch rübergebracht.
DU bist doch der Admin und die Wago Heinis sollen dir doch sagen wie man den IPsec Tunnel konfiguriert bzw. überhaupt erstmal diese für den Wago Router erforderlichen IPsec Konfig Dateien erstmal erstellt.
Das ist doch hier die entscheidende Frage überhaupt !

Es ist eigentlich fast unverständlich das diese Prozedur oder dieses Tool um diese Konfigs zu erstellen nicht oder nur unzureichend dokumentiert sind. Das ist ein essentieller Bestandteil so eines Routers um Geräte dahinter gesichert und verschlüsselt an Firmennetze zu koppeln.
Mit Sicherheit auch ein Hauptgrund solche Router zu erwerben. Und das soll dann nicht oder nur rudimentär dokumentiert sein !?
Ist dem wirklich so dann solltest du nochmals anrufen und dem Hersteller Wago aber mal gehörig auf die Füsse treten. Die können dann eine zugesicherte Eigenschaft nicht erfüllen. Das kann ja nicht sein das sowas verkauft wird. Abgesehen davon wäre das auch rechtlich gar nicht zulässig.
Wenn du eine neues Auto kaufst und das hat keine Reifen fragst du ja auch nicht in einem Autofahrer Forum nach was du machen musst sondern trittst dem Verkäufer oder besser dem Hersteller auf die Füße.
Solcherlei Binsenweisheiten erfasst man aber doch auch mit dem gesunden Menschenverstand, oder ?!
Also ruf da an und klär das ! Wenigstens kontaktiere aber deinen IT Admin und erkläre ihm das die IPsec Einrichtungsdaten so wie er sie kennt vom Cisco Client nicht in deinen Wago Gurke zu konfigurieren sind und dafür spezifische Konfig Dateien erzeugt werden müssen. Das wäre ja das mindestes.
Kommunikation ist wie immer alles !

Hallo Max,

Zitat von @MaxMLe:
Ich habe heute mit jemandem vom WAGO Support sprechen können. Er meinte, die Angaben die ich habe reichen nicht aus. Ich soll mir vom Admin die Conig-Dateien geben lassen...

Weißt du jetzt nicht genau, was du den Admin fragen sollst? Du hast vergessen, dazu eine Frage zu stellen.

BB

Gibt es zu diesem Problem eine Lösung?
Ich habe den selben Kontroller mit dem selben Problem.
hoffe mir kann jemand helfen

Die Lösung ist eine korrekte IPsec Konfiguration !
Grundlagen:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Hallo,
ich stehe jetzt auch vor der selben Aufgabe. Gibt es eine Lösung?
Hab mich selber schon ein wenig versucht.
Meine ipsec.conf-Datei sieht folgend aus

#config setup
#        # enable debug messages
        charondebug="ike 4, cfg 4, chd 4"  

conn %default
        # the FRITZ!Box supports IKEv1 only.
        keyexchange=ikev1
        # unfortunately the FRITZ!Box does not seem to support stronger encryption
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1-modp1024!
        # FRITZ!Box uses these values by default
        ikelifetime=1h
        lifetime=20m
        margintime=3m
        # automatically connect
        auto=start
        # restart the connection if disconnected
        closeaction=restart
        # enable compression
        compress=yes
        # try authenticating forever
        keyingtries=%forever
        # "dead peer detection" 
        # if detected as "dead", restart connection 
        dpdaction=restart
        dpddelay=10s
        # needed for NAT-T
        forceencaps=yes
        # FRITZ!Box is currently configured to use aggressive mode
        aggressive=yes

conn firmenname
        # source IP is detected
        left=%any
        # the "user" id 
        leftid=keyid:Wago PFC 100 
        # auth by key
        leftauth=psk
        # fetch "virtual" ip address from remote 
        leftsourceip=%config4
        # add routes to firewall
        leftfirewall=yes
        # allow access to this host
        lefthostaccess=yes
        
        # the DDNS hostname of the FRITZ!Box
        right=XXXXXXXX.myfritz.net
        # ip is dynamic, so we need %any
        rightid=%any
        # auth by key
        rightauth=psk
        # subnet which is routed to the FRITZ!Box
        rightsubnet=192.168.X.0/24

die ipsec.secret

%any : PSK "XXXXXXXXXX"  

Wago PFC 100  : XAUTH "XXXXXXXXX"  

Eine eingeschränkte Verbindung findet statt, heißt ich kann die SPS anpingen, kann aber keine Programme hochladen bzw. diese starten.

Danke für eure Hilfe!

Dann hat das nichts mehr mit dem Netzwerk oder VPN zu tun !!
Ist ja klar, denn hättest du einen grundlegenden Fehler würde sofort ICMP scheitern.
Das du das Endgerät Pingen kannst zeigt ganz klar das Netzwerk seitig alles sauber ist.
Alles andere sind Anwendungen.
Wenn die geblockt sind, dann riecht das eher nach einer Firewall die irgendwo dazwischen hängt.
Ist da irgendwas Winblows artiges mit im Spiel wo ggf. eine lokale Firewall dir da dazwischenfunkt !?