OpenVPN Client mit IPSec einrichten

Hallo,

ich benötige etwas Hilfe beim einrichten eines OpenVPN Clients mit IPSec unter Linux.n OpenVPN ist soweit installiert.

Ich habe nun folgende Informationen erhalten#

Öffentliche IP/Remote IP(Server): test.dyndns.org
Interne IP(Server): 192.168.5.0

Verwendete IPSec-Richtlinie ist 3DES (TripleDES).

Dazu wird ein Pre-shared Key "abcdef01234" verwendet.

Die conf sieht bislang so aus.

#openvpn-client.conf

client
dev tun
proto udp

remote test.dyndns.org

resolv-retry infinite
keepalive 50 160

nobind

nobind
ns-cert-type server

status test.txt
log log.txt
verb 1

Please also mark the comments that contributed to the solution of the article

Content-Key: 288803

Url: https://administrator.de/contentid/288803

Printed on: April 18, 2024 at 11:04 o'clock

10 Comments

Latest comment

Hallo,

und wo hakts?
Welche Linux Distribution wäre auch eine nette Info ebenso worauf läuft der OpenVPN Server?

Gruß

Der VPN Server läuft soweit ich weiß auf einem Astaro VPN Router. Keine näheren Infos dazu leider. Serverzertifikate gibts es für die Verbindung nicht. Ich weiß nicht, wo ich den Preshared Key eintragen muss, genauso ob der cipher

cipher DES-EDE3-CBC

dafür korrekt ist.

secret static.key

hier rein

Nur mal so nebenbei: IPsec VPNs und OpenVPN VPNs sind 2 völlig verschiedenen Paar Schuhe die rein gar nichts miteinander zu tun haben.
Das ist dir hoffentlich bewusst, oder ?
OpenVPN ist ein SSL basiertes VPN Verfahren und funktioniert grundsätzlich völlig anders als IPsec.
Nicht das du hier irgendwas durcheinaderbringst...?!

Was geht ist das du z.B. einen separaten OVPN Tunnel aufbaust und einen separaten IPsec Tunnel. Niemals aber eine irgendwie geartete Kombination beider.
Das funktioniert de facto nicht !
Wär so als würdest du versuchen ein Diesel Auto mit Raketentreibstoff zu betanken und fragst welche Zapfpistole du verwenden musst.

Sehe inzwischen, dass ich hier evtl. ein paar Informationen falsch aufgegriffen hab.

Öffentliche IP/Remote IP(Server): test.dyndns.org
Interne IP(Server): 192.168.5.0
IKE-Verschlüsslungsalg.: 3DES
IKE-Authentifizierungsalg: MD5
IKE-DH-Gruppe: 5

IPSec-Verschlüsslungsalg: 3DES
IPSec-Authentifizierungsalg: MD5

Dazu wird ein Pre-shared Key "abcdef01234" verwendet.   

Wie kann ich so die Verbindung aufbauen, welche Software brauche ich da genau?

Das was du da als VPN Protokoll benuzt oder benutzen willst ist ziemlich sicher IPsec nach den o.a. Parametern zu schliessen (IKE) ?!
Alles was du zu dem Thema wissen musst findest du im folgenden Forums Tutorial:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Eine klassische kostenfreie Client Software dafür, die alle deine Vorgaben erfüllt, ist z.B. der bekannte Shrew Client:
https://www.shrew.net

Nebenbei: Man kann nur hoffen das dein PSK Key rein zum Testen ist. Geheim ist dieser Key ja nun mit dem Posting nicht mehr. Mal ganz von der Verwendeung eines solchen Banalpasswords abgesehen

Hallo aqui,

danke für die Links. Das schau ich mir gleich an.

Die IP Adressen sowie auch das Passwort sind Phantasiewerte, die angelehnt sind an der realen Konfiguration.

Ein Glück...

Habe nun das ganze erst einmal über die grafische Oberfläche auf einem Windows Rechner versucht. Das ganze mit Shrew (VPN Access Manager).

Bei den Einstellung bin ich wie folgt vor gegangen:

1) General:
Host Name or IP Address "test.dyndns.org"

Local Host:
Adapter Mode
"Use a virtual adapter and assigned adress"
Adress "192.168.2.100" (Mein Netzwerk(Router), oder was muss hier stehen?)
Netmask "255.255.255.0"

2) Authentification Method
"Mutal PSK"

Local Identity:
Identification Type "IP Adress" (?)

Remote Identity:
Identification Type "Fully QUalified Domain Name" (?)

Crendtials
Pre Shared Key "abcde..."

3) Phase 1
Exchange Type "aggressive"
DH Exchange "group 5"
Cipher Algorithm "3des"
Hash Algorithm "md5"
Key Life Time Limit "7800"

4) Phase 2
Transform Algorithm "esp-3des"
HMAC Algorithm "md5"
PFS Exhange "disable"
Key Life Time limit "3600"

5) Policy
[x] Maintain Presisten Security Association

Remote Network Resource
Type: Include
Adress: "192.168.5.0" (Interne IP Server)
Netmask: "255.255.255.0"

Ist ein bisschen doof, hier alles aufzulisten, deshalb auch noch einmal die Einstellungen exportiert.

n:version:4
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:0
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:0
n:client-banner-enable:0
n:network-notify-enable:0
n:client-dns-used:0
n:client-dns-auto:1
n:client-dns-suffix-auto:1
n:client-splitdns-used:1
n:client-splitdns-auto:1
n:client-wins-used:0
n:client-wins-auto:1
n:phase1-dhgroup:5
n:phase1-life-secs:7800
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:1
n:policy-list-auto:0
s:network-host:test.dyndns.org
s:client-auto-mode:pull
s:client-iface:virtual
s:client-ip-addr:192.168.2.100
s:client-ip-mask:255.255.255.0
s:network-natt-mode:enable
s:network-frag-mode:enable
s:auth-method:mutual-psk
s:ident-client-type:address
s:ident-server-type:fqdn
b:auth-mutual-psk:***********
s:phase1-exchange:aggressive
s:phase1-cipher:3des
s:phase1-hash:md5
s:phase2-transform:esp-3des
s:phase2-hmac:md5
s:ipcomp-transform:disabled
n:phase2-pfsgroup:-1
s:policy-level:require
s:policy-list-include:192.168.5.0 / 255.255.255.0

Klingt alles richtig ! Grundlagen wie gesagt dazu auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Denk immer dran das bei Windows Clients immer die lokale Firewall anzupassen ist !

German Question Networking Basics Networks

Hotly discussed

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment