Wer bereits ein X509-Schlüsselpaar besitzt, kann diesen Abschnitt auch überspringen. Zur Schlüsselerzeugung mittels openssl können Sie auf der openssl-Homepage die entsprechenden HowTos lesen.
Um einen (RSA) Schlüssel zu erzeugen, gibt man folgendes Kommando ein:
openssl genrsa -out privkey.pem 2048
Das erzeugt einen 2048 Bit langen RSA Key, den man zum Signieren und zum Verschlüsseln verwenden kann und der nicht durch ein Paßwort geschützt ist. Da wir den Schlüssel in einer Serverumgebung einsetzen, ist dies erforderlich, weil bei jedem Zugriff auf den Key ansonsten das Paßwort eingegeben werden müsste.
Nachdem wir nun den privaten Schlüssel erzeugt haben, können wir ein selbstsigniertes Zertifikat erstellen mittels:
openssl req -new -x509 -key privkey.pem -out cert.pem -days 1095
Dies erstellt ein selbstsigniertes x509 Zertifikat, das 1095 Tage gültig ist.
Nachdem nun Schlüssel und Zertifikat erstellt wurden, müssen diese an die richtige Position für unsere spätere Konfiguration kopiert werden, und zwar nach
/etc/ipsec.d/keys/private/
Falls dieses Verzeichnis noch nicht existiert, legen Sie es einfach an.
Nachdem man nun die notwendigen lokalen Schlüssel erzeugt hat, kann man die öffentlichen Schlüssel austauschen. Hierzu wählt man auf dem Intranator unter dem Menüpunkt System -> Schlüssel -> Eigene Schlüssel den gewünschten privaten Intranator-Schlüssel aus, klickt auf den Reiter Daten und wählt dann Zertifikat exportieren aus. Diesen Schlüssel speichert man unter /etc/ipsec.d/certs/intranator.pem ab.
Nun muss man dem Intranator den eigenen öffentlichen Schlüssel übermitteln. Hierfür wählt man auf dem Intranator unter System -> Schlüssel -> Fremde Schlüssel den Button Neu, trägt einen noch nicht belegten Namen in das Feld Name ein und fügt das zuvor erstellte Zertifikat via Copy & Paste ein (es ist zu beachten, daß am Ende keine Leerzeile im Textfeld erscheinen darf!).
Nun muss man auf der Seite des Intranators das VPN konfigurieren. Hierzu wählt man unter Dienste -> VPN -> Verbindungen den Button Neu, um ein neues VPN-Profil zu erzeugen.
In Namen des Profils trägt man einen noch nicht benutzten Namen ein (im vorliegenden Fall paranoid), wählt den gewünschten Typ des VPN aus (hier im Beispiel Lokales Netz <-> Host (Tunnel-Mode); hierfür ist auch später die ipsec.conf ausgelegt, d.h. bei anderen Typen muss man ggf. mehr in der ipsec.conf anpassen) und wählt dann Einstellungen speichern.
Nun wird die Seite Schritt 1 von 4: Verbindungseigenschaften festlegen geladen. Hier trägt man unter Gegenstelle entweder eine feste IP-Adresse oder einen DNS-Hostnamen (es funktionieren auch DynDNS-Namen) ein. Wer keine feste IP-Adresse besitzt und keinen DynDNS-Namen registriert hat, muss hier Dynamische IP wählen. Die restlichen Einstellungen sollten eigentlich bereits mit sinnvollen Defaults vorbelegt sein. Mit Einstellungen speichern kommt man nun auf die Seite Schritt 2 von 4: Authentifizierungsmethode festlegen.
Hier muss man nun die richtigen Zertifikate auswählen. Unter Eigener Schlüssel muss genau der Schlüssel ausgewählt werden, den man vom Intranator zuvor exportiert hat. Unter Schlüssel Gegenstelle muss man den Schlüssel auswählen, den man zuvor auf den Intranator hochgeladen hat. Einstellungen speichern bringt diesmal die Seite Schritt 3 von 4: Aktivierungsart festlegen.
Hier kann man normalerweise einfach direkt auf „Einstellungen speichern“ klicken, in den wenigsten Fällen muss man hier etwas anderes eintragen. Nun wird die Seite Schritt 4 von 4: Lebensdauer festlegen geladen. Auch hier muss man üblicherweise keine Änderungen vornehmen und kann direkt auf Einstellungen speichern klicken.
Die ipsec.conf liegt defaultmäßig unter /etc/ipsec.conf. Wem es besser gefällt, der kann diese auch nach /etc/ipsec.d/ verschieben und dann einen Link nach /etc legen, das ist allerdings Geschmackssache.
Nun muss man ipsec noch mitteilen, an welcher Stelle der private Schlüssel zu finden ist. Dazu trägt man in die Datei /etc/ipsec.secrets folgende Zeile ein:
: RSA /etc/ipsec.d/private/privkey.pem
Bei Problemen mit dem Verbindungsaufbau kann es sein, daß man den restlichen Inhalt der Datei (also alle Zeilen, die nicht mit : RSA <Pfad> beginnen) löschen muss.
Jetzt kann man die VPN-Verbindung aufbauen mit
rcipsec stop
rcipsec start
ipsec auto --up intranatorhost
Das rcipsec stop machen wir dabei nur zur Sicherheit, falls ipsec bereits gestartet war.
Startseite | Impressum | Datenschutz
© 2024 Firewall-VPN-Proxy-Virenscanner.de - TYPO3 und Webdesign von artif GmbH & Co. KG