Strongswan Site-to-Site mit einer NIC
Hallo Zusammen,
ich habe einen Ubuntu 20.04 Root Server A mit einer offiziellen IP. Ich möchte diesen Server per Strongswan mit einem anderen Server B verbinden.
Angenommen Server A hat die IP a.b.c.d und soll das private Netz 192.168.100.0/24 bekommen. Server B hat die IP b.c.d.e und das Netz 10.13.49.0/24.
Muss ich dann Server A seine private IP 192.168.100.1 auf ein virtuelle NiC (eth0:0) zuweisen oder reicht es diese zusätzlich auf eth0 zu binden? Oder macht Strongswan das irgendwie selber?
Die ipsec.conf:
config setup
charondebug="all"
uniqueids=yes
strictcrlpolicy=no
conn %default
conn test
keyexchange=ikev2
type=tunnel
authby=secret
leftid=a.b.c.d
leftsubnet=192.168.100.0/24
rightsubnet=10.13.49.0/24
auto=start
right=b.c.d.e
esp = aes256-sha512-ecp521-modp4096-modp2048
keyingtries=0
ikelifetime=1h
lifetime=8h
dpddelay=30
dpdtimeout=120
dpdaction=restart
Danke und Gruß,
Roadmax
ich habe einen Ubuntu 20.04 Root Server A mit einer offiziellen IP. Ich möchte diesen Server per Strongswan mit einem anderen Server B verbinden.
Angenommen Server A hat die IP a.b.c.d und soll das private Netz 192.168.100.0/24 bekommen. Server B hat die IP b.c.d.e und das Netz 10.13.49.0/24.
Muss ich dann Server A seine private IP 192.168.100.1 auf ein virtuelle NiC (eth0:0) zuweisen oder reicht es diese zusätzlich auf eth0 zu binden? Oder macht Strongswan das irgendwie selber?
Die ipsec.conf:
config setup
charondebug="all"
uniqueids=yes
strictcrlpolicy=no
conn %default
conn test
keyexchange=ikev2
type=tunnel
authby=secret
leftid=a.b.c.d
leftsubnet=192.168.100.0/24
rightsubnet=10.13.49.0/24
auto=start
right=b.c.d.e
esp = aes256-sha512-ecp521-modp4096-modp2048
keyingtries=0
ikelifetime=1h
lifetime=8h
dpddelay=30
dpdtimeout=120
dpdaction=restart
Danke und Gruß,
Roadmax
Please also mark the comments that contributed to the solution of the article
Content-ID: 2379310730
Url: https://administrator.de/contentid/2379310730
Printed on: October 16, 2024 at 02:10 o'clock
4 Comments
Latest comment
Deine Schilderung ist leider etwas widersprüchlich. Wenn du nur je eine NIC mit der öffentlichen IP hast und lediglich den Traffic zwischen diesen beiden Hosts verschlüsseln willst machst du eine ganz einfache IPsec Transportverschlüsselung. (ESP im Transport Mode)
Hast du an den Servern jeweils lokale LAN Segmenten und willst eine Site to Site Kopplung dieser beiden LAN Segmente machen dann ist das eine klassische ESP Connection im Tunnel Mode.
Die Frage ist also was du genau realisieren willst ?
Hast du an den Servern jeweils lokale LAN Segmenten und willst eine Site to Site Kopplung dieser beiden LAN Segmente machen dann ist das eine klassische ESP Connection im Tunnel Mode.
Die Frage ist also was du genau realisieren willst ?
Sieh dir einmal eine IKEv2 Beispielkonfig mit ESP im Tunnelmode in dem moderneren Strongswan vici Format (via swanctl) an, da ist das dann fast selbsterklärend:
Server A:
Server B:
Weitere dieser Beispiele in beiden Konfig Varianten findest du auf der Strongswan Seite:
https://wiki.strongswan.org/projects/strongswan/wiki/UsableExamples
Server A:
connections {
site-site {
local_addrs = a.b.c.d
remote_addrs = b.c.d.e
local {
auth = psk
id = server-a.test.intern
}
remote {
auth = psk
id = server-b.test.intern
}
children {
net-net {
local_ts = 192.168.100.0/24
remote_ts = 10.13.49.0/24
esp_proposals = aes256-sha256-modp2048
start_action = start
}
}
version = 2
proposals = aes256-sha256-modp2048
}
}
secrets {
ike {
id = server-b.test.intern
secret = "test1234"
}
}
Server B:
connections {
site-site {
local_addrs = b.c.d.e
remote_addrs = a.b.c.d
local {
auth = psk
id = server-b.test.intern
}
remote {
auth = psk
id = server-a.test.intern
}
children {
net-net {
local_ts = 10.13.49.0/24
remote_ts = 192.168.100.0/24
esp_proposals = aes256-sha256-modp2048
start_action = start
}
}
version = 2
proposals = aes256-sha256-modp2048
}
}
secrets {
ike {
id = server-a.test.intern
secret = "test1234"
}
}
https://wiki.strongswan.org/projects/strongswan/wiki/UsableExamples
Wenn es das denn nun war bitte dann auch nicht vergessen deinen Thread hier als erledigt zu schliessen!!
How can I mark a post as solved?
How can I mark a post as solved?