3
Wie IPsec (OPENSWAN - VPN) - Server auf Debian Squeez richtig einrichten?
Privates Testprojekt im Heimnetz.
VPN Server meldet Fehler (Konfiguration falsch?)
Ich würde mich sehr freuen, wenn mir jemand es gut erklären kann.
Hallo,
Wie schon im Vorwort erwähnt habe ich ein Lernprojekt in meinem Privaten Umfeld vor. Es gibt offensichtlich viele Fragen zum Thema IPSec aber leider ehr mit Windows 2k3 oder höher..
Mein Netzwerk sieht so aus..
Cabelmodem -> WAN PORT am Router (IP 192.168.2.1 = GATEWAY = DNS) von dem geht ein LAN Kabel zu eth0 an dem Debian Server (statisch 192.168.2.5) weitere Clients wie mein aktueller PC gehen über W-LAN hinein und beziehen Dynamisch eine Adresse zwischen 192.168.2.100 - 192.168.2.200.
Es geht um ein Debian 6 (Squeez)
Ich habe bereits openswan sowie openssl installiert und mittels /usr/lib/ssl/misc/CA.sh -newcert mir ein Certifikat erstellt welche ich auch in /etc/ipsec.d/cacerts, certs, private kopiert habe.
In der Datei /var/lib/openswan/ipsec.secrets.inc habe ich folgendes stehen.. Ob das eine Certifikat reicht, keine Ahnung ich habe leider noch nie mit eigenen Certifikaten gearbeitet..
vpnsever.key hab ich von newkey.pem so umbenannt, da die Meldung hieß das der key in dieser Datei wäre.
newcert.pem liegt in certs als vpnserver.pem
cacert.pem liegt in cacerts als vpnserver.pem
Ich habe die Konfiguration nach meinem Wissen bzw. wie ich es dachte angepasst,
home.meinedomain.tld <-- weisst die IP durch CNAME von DYNDNS!
Beim Starten von ipsec bekomme ich dann folgenden Fehler
heißt zuviel wie unerwarteter Text plutoload, nun keine Ahnung warum unerwartet, in einer Anleitung im Netz ging es wohl.
wenn ich alles mit pluto auskommentiere und es dann starte, kommt
Nun der Server soll nicht offen sein, wen ich das mit dem netkey so verstehen darf, ich würde gerne Systembenutzer anlegen die in der Gruppe vpnaccess sein müssen.
Ich weiss leider nicht weiter, auch eine Verbindung über Windows ohne Benutzer und Passwort ist nicht möglich, er meckert das kein Zertifikat vorhanden ist. Gebe ich dort dann mein Passphase als Schlüssel ein? Den VPN Typ hab ich auch geändert.. Keine Chance Windows Meldet Fehler 789, zwischen Windows Client und Debian Server ist keine Firewall die den Zugriff. Wenn es von Extern wäre könnte man es ja annehmen, aber Intern?
Was mache ich falsch? Zumal was mir einfällt worüber beziehe ich die VPN-Client Adresse, Dynamisch (DHCP) oder fehlt das in eminer Konfiguration, denn wenn ja wäre das alle 54 Hosts ab 192.168.201
Ich möchte einfach auf das Gesammte Netzwerk zugreifen können in dem Fall, auf Router, Debian und auf den Windows PC, und das vom iphone, smartphone oder anderen Windows PCs bei Freunden und Bekannten, Ich weiss leider nicht mehr weiter?
pptp ging leichter nur unterstützt mein Router den GRE Port nicht und hat nur IPSec Unterstützung, deswegen dieses Problem..
Würde mich sehr freuen wenn jemand mir ein Stück helfen kann.
Gruß David
VPN Server meldet Fehler (Konfiguration falsch?)
Ich würde mich sehr freuen, wenn mir jemand es gut erklären kann.
Hallo,
Wie schon im Vorwort erwähnt habe ich ein Lernprojekt in meinem Privaten Umfeld vor. Es gibt offensichtlich viele Fragen zum Thema IPSec aber leider ehr mit Windows 2k3 oder höher..
Mein Netzwerk sieht so aus..
Cabelmodem -> WAN PORT am Router (IP 192.168.2.1 = GATEWAY = DNS) von dem geht ein LAN Kabel zu eth0 an dem Debian Server (statisch 192.168.2.5) weitere Clients wie mein aktueller PC gehen über W-LAN hinein und beziehen Dynamisch eine Adresse zwischen 192.168.2.100 - 192.168.2.200.
Es geht um ein Debian 6 (Squeez)
Ich habe bereits openswan sowie openssl installiert und mittels /usr/lib/ssl/misc/CA.sh -newcert mir ein Certifikat erstellt welche ich auch in /etc/ipsec.d/cacerts, certs, private kopiert habe.
In der Datei /var/lib/openswan/ipsec.secrets.inc habe ich folgendes stehen.. Ob das eine Certifikat reicht, keine Ahnung ich habe leider noch nie mit eigenen Certifikaten gearbeitet..
: RSA /etc/ipsec.d/private/vpnserver.key "MEINEPASSPHASE" vpnsever.key hab ich von newkey.pem so umbenannt, da die Meldung hieß das der key in dieser Datei wäre.
newcert.pem liegt in certs als vpnserver.pem
cacert.pem liegt in cacerts als vpnserver.pem
Ich habe die Konfiguration nach meinem Wissen bzw. wie ich es dachte angepasst,
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=none
plutostart=none
plutowait=no
plutobackgroundload=yes
uniqueids=yes
conn %default
keyingtries=0
authby=rsasig
left=192.168.2.5
leftsubnet=192.168.2.0/24
leftid=home.meinedomain.tld
leftrsasigkey=%cert
rightrsasigkey=%cert
auto=addhome.meinedomain.tld <-- weisst die IP durch CNAME von DYNDNS!
Beim Starten von ipsec bekomme ich dann folgenden Fehler
openswan failed to exec the requested action - the following error occured:
can not load config '/etc/ipsec.conf': /etc/ipsec.conf:5: syntax error, unexpected STRING [plutoload] wenn ich alles mit pluto auskommentiere und es dann starte, kommt
ipsec_setup: Starting Openswan IPsec 2.6.28...
ipsec_setup: No KLIPS support found while requested, desperately falling back to netkey
ipsec_setup: NETKEY support found. Use protostack=netkey in /etc/ipsec.conf to avoid attempts to use KLIPS. Attempting to continue with NETKEYNun der Server soll nicht offen sein, wen ich das mit dem netkey so verstehen darf, ich würde gerne Systembenutzer anlegen die in der Gruppe vpnaccess sein müssen.
Ich weiss leider nicht weiter, auch eine Verbindung über Windows ohne Benutzer und Passwort ist nicht möglich, er meckert das kein Zertifikat vorhanden ist. Gebe ich dort dann mein Passphase als Schlüssel ein? Den VPN Typ hab ich auch geändert.. Keine Chance Windows Meldet Fehler 789, zwischen Windows Client und Debian Server ist keine Firewall die den Zugriff. Wenn es von Extern wäre könnte man es ja annehmen, aber Intern?
Was mache ich falsch? Zumal was mir einfällt worüber beziehe ich die VPN-Client Adresse, Dynamisch (DHCP) oder fehlt das in eminer Konfiguration, denn wenn ja wäre das alle 54 Hosts ab 192.168.201
Ich möchte einfach auf das Gesammte Netzwerk zugreifen können in dem Fall, auf Router, Debian und auf den Windows PC, und das vom iphone, smartphone oder anderen Windows PCs bei Freunden und Bekannten, Ich weiss leider nicht mehr weiter?
pptp ging leichter nur unterstützt mein Router den GRE Port nicht und hat nur IPSec Unterstützung, deswegen dieses Problem..
Würde mich sehr freuen wenn jemand mir ein Stück helfen kann.
Gruß David
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 173288
Url: https://administrator.de/contentid/173288
Ausgedruckt am: 23.11.2024 um 05:11 Uhr
3 Kommentare
Neuester Kommentar
In OpenSWAN 2 sind plutoload & co. obsolet, d.h. werden nicht mehr benutzt.
Den Rest von Deinem Post habe ich in meine Kristallkugel eingeben. Wenn sie das verarbeitet hat, stelle ich entsprechende Rückfragen.
Den Rest von Deinem Post habe ich in meine Kristallkugel eingeben. Wenn sie das verarbeitet hat, stelle ich entsprechende Rückfragen.
Zitat von @Lochkartenstanzer:
Den Rest von Deinem Post habe ich in meine Kristallkugel eingeben. Wenn sie das verarbeitet hat, stelle ich entsprechende
Rückfragen.
willst du mir damit sagen, ich hätte nciht alles gesagt? Was hab ich denn vergessen zu sagen?Den Rest von Deinem Post habe ich in meine Kristallkugel eingeben. Wenn sie das verarbeitet hat, stelle ich entsprechende
Rückfragen.
Mein Netzwerkaufbau hab ich erzählt, verwendete Software, Konfigurationen, Fehler was vorhanden ist. Was felt hier denn für die Infomationen?
Fehlt die Information das der Login von jeden Internetanschluss mit Key und Zugangsdaten gehen soll?
Was soll bitte fehlen? Ich hab versucht Rückfragen zu vermeiden, OS, Software, Konfigurationen hab ich genannt jetzt...
Ich verstehe es nicht was man mir damit sagen will? plutoload hatte ich ja auch disabled hatte ich oben geschrieben und der vorhandene Fehler ist auch aufgelistet.. was ist dann nicht klar?
Sorry, ich hatte heute morgen nicht viel zeit und jetzt gerade leider auch nicht. Ich bin nur nicht auf die schnelle druch deine Infos durchgestiegen.
Um mal zu scheuen, ob es prinzipielle Probleme sind, könntest Du erstmal versuchen, ob es mit einem preshared secret funktioniert, wie z.B. in http://www.it-academy.cc/article/1572/IPsecVPN+mit+OpenSWAN+einrichten. ... kurz beschrieben ist. ort steht auch eine kurze Info zu zertifikaten.
Wenn es mit PSKs funktioniert, könen wir uns dann an die Zertifikate machen.
Ich melde mich morgen wieder.
lks
Um mal zu scheuen, ob es prinzipielle Probleme sind, könntest Du erstmal versuchen, ob es mit einem preshared secret funktioniert, wie z.B. in http://www.it-academy.cc/article/1572/IPsecVPN+mit+OpenSWAN+einrichten. ... kurz beschrieben ist. ort steht auch eine kurze Info zu zertifikaten.
Wenn es mit PSKs funktioniert, könen wir uns dann an die Zertifikate machen.
Ich melde mich morgen wieder.
lks
