user0071
19.11.2015
view21023
view10
0
Beitrags-Menü
  • Ausdrucken
  • Internen Beitrags-Link kopieren
  • Externen Beitrags-Link kopieren

OpenVPN Client mit IPSec einrichten

FrageNetzwerkeNetzwerkgrundlagen
Hallo,

ich benötige etwas Hilfe beim einrichten eines OpenVPN Clients mit IPSec unter Linux.n OpenVPN ist soweit installiert.

Ich habe nun folgende Informationen erhalten#

Öffentliche IP/Remote IP(Server): test.dyndns.org
Interne IP(Server): 192.168.5.0

Verwendete IPSec-Richtlinie ist 3DES (TripleDES).

Dazu wird ein Pre-shared Key "abcdef01234" verwendet.

Die conf sieht bislang so aus.

#openvpn-client.conf

client
dev tun
proto udp

remote test.dyndns.org

resolv-retry infinite
keepalive 50 160

nobind

nobind
ns-cert-type server

status test.txt
log log.txt
verb 1
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 288803

Url: https://administrator.de/forum/openvpn-client-mit-ipsec-einrichten-288803.html

Ausgedruckt am: 29.04.2025 um 05:04 Uhr

10 Kommentare
Neuester Kommentar
Goto Top
michi1983
michi1983 19.11.2015 aktualisiert um 13:40:14 Uhr
Goto Top
Hallo,

und wo hakts?
Welche Linux Distribution wäre auch eine nette Info ebenso worauf läuft der OpenVPN Server?

Gruß
user0071
user0071 19.11.2015 um 14:44:19 Uhr
Goto Top
Der VPN Server läuft soweit ich weiß auf einem Astaro VPN Router. Keine näheren Infos dazu leider. Serverzertifikate gibts es für die Verbindung nicht. Ich weiß nicht, wo ich den Preshared Key eintragen muss, genauso ob der cipher

cipher DES-EDE3-CBC
dafür korrekt ist.
michi1983
michi1983 19.11.2015 um 14:46:26 Uhr
Goto Top
secret static.key

hier rein
aqui
aqui 20.11.2015 aktualisiert um 16:05:32 Uhr
Goto Top
Nur mal so nebenbei: IPsec VPNs und OpenVPN VPNs sind 2 völlig verschiedenen Paar Schuhe die rein gar nichts miteinander zu tun haben.
Das ist dir hoffentlich bewusst, oder ?
OpenVPN ist ein SSL basiertes VPN Verfahren und funktioniert grundsätzlich völlig anders als IPsec.
Nicht das du hier irgendwas durcheinaderbringst...?!

Was geht ist das du z.B. einen separaten OVPN Tunnel aufbaust und einen separaten IPsec Tunnel. Niemals aber eine irgendwie geartete Kombination beider.
Das funktioniert de facto nicht !
Wär so als würdest du versuchen ein Diesel Auto mit Raketentreibstoff zu betanken und fragst welche Zapfpistole du verwenden musst.
user0071
user0071 23.11.2015 um 12:15:40 Uhr
Goto Top
Sehe inzwischen, dass ich hier evtl. ein paar Informationen falsch aufgegriffen hab.
Öffentliche IP/Remote IP(Server): test.dyndns.org
Interne IP(Server): 192.168.5.0
IKE-Verschlüsslungsalg.: 3DES
IKE-Authentifizierungsalg: MD5
IKE-DH-Gruppe: 5

IPSec-Verschlüsslungsalg: 3DES
IPSec-Authentifizierungsalg: MD5

Dazu wird ein Pre-shared Key "abcdef01234" verwendet.

Wie kann ich so die Verbindung aufbauen, welche Software brauche ich da genau?
aqui
aqui 23.11.2015 aktualisiert um 13:29:53 Uhr
Goto Top
Das was du da als VPN Protokoll benuzt oder benutzen willst ist ziemlich sicher IPsec nach den o.a. Parametern zu schliessen (IKE) ?!
Alles was du zu dem Thema wissen musst findest du im folgenden Forums Tutorial:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Eine klassische kostenfreie Client Software dafür, die alle deine Vorgaben erfüllt, ist z.B. der bekannte Shrew Client:
https://www.shrew.net

Nebenbei: Man kann nur hoffen das dein PSK Key rein zum Testen ist. Geheim ist dieser Key ja nun mit dem Posting nicht mehr. Mal ganz von der Verwendeung eines solchen Banalpasswords abgesehen face-sad
user0071
user0071 23.11.2015 um 13:42:56 Uhr
Goto Top
Hallo aqui,

danke für die Links. Das schau ich mir gleich an.

Die IP Adressen sowie auch das Passwort sind Phantasiewerte, die angelehnt sind an der realen Konfiguration.
aqui
aqui 23.11.2015 um 13:55:56 Uhr
Goto Top
Ein Glück... face-wink
user0071
user0071 23.11.2015 um 16:35:38 Uhr
Goto Top
Habe nun das ganze erst einmal über die grafische Oberfläche auf einem Windows Rechner versucht. Das ganze mit Shrew (VPN Access Manager).

Bei den Einstellung bin ich wie folgt vor gegangen:

1) General:
Host Name or IP Address "test.dyndns.org"

Local Host:
Adapter Mode
"Use a virtual adapter and assigned adress"
Adress "192.168.2.100" (Mein Netzwerk(Router), oder was muss hier stehen?)
Netmask "255.255.255.0"

2) Authentification Method
"Mutal PSK"

Local Identity:
Identification Type "IP Adress" (?)

Remote Identity:
Identification Type "Fully QUalified Domain Name" (?)

Crendtials
Pre Shared Key "abcde..."

3) Phase 1
Exchange Type "aggressive"
DH Exchange "group 5"
Cipher Algorithm "3des"
Hash Algorithm "md5"
Key Life Time Limit "7800"

4) Phase 2
Transform Algorithm "esp-3des"
HMAC Algorithm "md5"
PFS Exhange "disable"
Key Life Time limit "3600"

5) Policy
[x] Maintain Presisten Security Association


Remote Network Resource
Type: Include
Adress: "192.168.5.0" (Interne IP Server)
Netmask: "255.255.255.0"

Ist ein bisschen doof, hier alles aufzulisten, deshalb auch noch einmal die Einstellungen exportiert.
n:version:4
n:network-ike-port:500
n:network-mtu-size:1380
n:client-addr-auto:0
n:network-natt-port:4500
n:network-natt-rate:15
n:network-frag-size:540
n:network-dpd-enable:0
n:client-banner-enable:0
n:network-notify-enable:0
n:client-dns-used:0
n:client-dns-auto:1
n:client-dns-suffix-auto:1
n:client-splitdns-used:1
n:client-splitdns-auto:1
n:client-wins-used:0
n:client-wins-auto:1
n:phase1-dhgroup:5
n:phase1-life-secs:7800
n:phase1-life-kbytes:0
n:vendor-chkpt-enable:0
n:phase2-life-secs:3600
n:phase2-life-kbytes:0
n:policy-nailed:1
n:policy-list-auto:0
s:network-host:test.dyndns.org
s:client-auto-mode:pull
s:client-iface:virtual
s:client-ip-addr:192.168.2.100
s:client-ip-mask:255.255.255.0
s:network-natt-mode:enable
s:network-frag-mode:enable
s:auth-method:mutual-psk
s:ident-client-type:address
s:ident-server-type:fqdn
b:auth-mutual-psk:***********
s:phase1-exchange:aggressive
s:phase1-cipher:3des
s:phase1-hash:md5
s:phase2-transform:esp-3des
s:phase2-hmac:md5
s:ipcomp-transform:disabled
n:phase2-pfsgroup:-1
s:policy-level:require
s:policy-list-include:192.168.5.0 / 255.255.255.0
aqui
aqui 27.11.2015 um 13:33:32 Uhr
Goto Top
Klingt alles richtig ! Grundlagen wie gesagt dazu auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Denk immer dran das bei Windows Clients immer die lokale Firewall anzupassen ist !
FrageNetzwerkeNetzwerkgrundlagen
Heiß diskutiert
StefanKittelMail-Server mit IPv6 sind kein Standard?StefanKittel - 24 KommentareSurfer12Neue Telefonanlage konventionell oder IPSurfer12 - 23 KommentarekreuzbergerLTFS und LTO5-Laufwerke im DELL TL4000kreuzberger - 21 KommentareYan2021Mauszeiger springt während Backup od. Programm-Installation etcYan2021 - 18 KommentareStefanKittelSMTP Relay gesuchtStefanKittel - 17 Kommentareopc123Kostenloser Hypervisoropc123 - 16 Kommentarebloodstix4k Auflösung komischer Rand bei Spielenbloodstix - 16 KommentareYan2021Thunderbolt USB-C auf USB-A Stecker bessere Lösung?Yan2021 - 14 KommentarespinnifexMein Explorer bringt mich zum Wahnsinn (Einstellungen merken)spinnifex - 14 KommentarefloriaugsBackup Cloud - Empfehlungfloriaugs - 14 KommentareLordReaperRDP Sessions trennen sich 1-2x täglichLordReaper - 13 KommentarekeineahnungcomputerProfi Notebook CAD Autocadkeineahnungcomputer - 13 KommentareNominisHeimnetzwerk - Aufteilung aktualisierenNominis - 13 Kommentare