hobbyfi
Goto Top

Wie IPsec (OPENSWAN - VPN) - Server auf Debian Squeez richtig einrichten?

Privates Testprojekt im Heimnetz.

VPN Server meldet Fehler (Konfiguration falsch?)

Ich würde mich sehr freuen, wenn mir jemand es gut erklären kann.

Hallo,

Wie schon im Vorwort erwähnt habe ich ein Lernprojekt in meinem Privaten Umfeld vor. Es gibt offensichtlich viele Fragen zum Thema IPSec aber leider ehr mit Windows 2k3 oder höher..

Mein Netzwerk sieht so aus..

Cabelmodem -> WAN PORT am Router (IP 192.168.2.1 = GATEWAY = DNS) von dem geht ein LAN Kabel zu eth0 an dem Debian Server (statisch 192.168.2.5) weitere Clients wie mein aktueller PC gehen über W-LAN hinein und beziehen Dynamisch eine Adresse zwischen 192.168.2.100 - 192.168.2.200.

Es geht um ein Debian 6 (Squeez)

Ich habe bereits openswan sowie openssl installiert und mittels /usr/lib/ssl/misc/CA.sh -newcert mir ein Certifikat erstellt welche ich auch in /etc/ipsec.d/cacerts, certs, private kopiert habe.
In der Datei /var/lib/openswan/ipsec.secrets.inc habe ich folgendes stehen.. Ob das eine Certifikat reicht, keine Ahnung ich habe leider noch nie mit eigenen Certifikaten gearbeitet..

: RSA /etc/ipsec.d/private/vpnserver.key "MEINEPASSPHASE"  

vpnsever.key hab ich von newkey.pem so umbenannt, da die Meldung hieß das der key in dieser Datei wäre.
newcert.pem liegt in certs als vpnserver.pem
cacert.pem liegt in cacerts als vpnserver.pem

Ich habe die Konfiguration nach meinem Wissen bzw. wie ich es dachte angepasst,

config setup
        interfaces=%defaultroute
        klipsdebug=none
        plutodebug=none
        plutoload=none
        plutostart=none
        plutowait=no
        plutobackgroundload=yes
        uniqueids=yes

conn %default
     keyingtries=0
     authby=rsasig
     left=192.168.2.5
     leftsubnet=192.168.2.0/24
     leftid=home.meinedomain.tld
     leftrsasigkey=%cert
     rightrsasigkey=%cert
     auto=add

home.meinedomain.tld <-- weisst die IP durch CNAME von DYNDNS!

Beim Starten von ipsec bekomme ich dann folgenden Fehler
openswan failed to exec the requested action - the following error occured:
can not load config '/etc/ipsec.conf': /etc/ipsec.conf:5: syntax error, unexpected STRING [plutoload]  
heißt zuviel wie unerwarteter Text plutoload, nun keine Ahnung warum unerwartet, in einer Anleitung im Netz ging es wohl.
wenn ich alles mit pluto auskommentiere und es dann starte, kommt

ipsec_setup: Starting Openswan IPsec 2.6.28...
ipsec_setup: No KLIPS support found while requested, desperately falling back to netkey
ipsec_setup: NETKEY support found. Use protostack=netkey in /etc/ipsec.conf to avoid attempts to use KLIPS. Attempting to continue with NETKEY

Nun der Server soll nicht offen sein, wen ich das mit dem netkey so verstehen darf, ich würde gerne Systembenutzer anlegen die in der Gruppe vpnaccess sein müssen.

Ich weiss leider nicht weiter, auch eine Verbindung über Windows ohne Benutzer und Passwort ist nicht möglich, er meckert das kein Zertifikat vorhanden ist. Gebe ich dort dann mein Passphase als Schlüssel ein? Den VPN Typ hab ich auch geändert.. Keine Chance Windows Meldet Fehler 789, zwischen Windows Client und Debian Server ist keine Firewall die den Zugriff. Wenn es von Extern wäre könnte man es ja annehmen, aber Intern?

Was mache ich falsch? Zumal was mir einfällt worüber beziehe ich die VPN-Client Adresse, Dynamisch (DHCP) oder fehlt das in eminer Konfiguration, denn wenn ja wäre das alle 54 Hosts ab 192.168.201

Ich möchte einfach auf das Gesammte Netzwerk zugreifen können in dem Fall, auf Router, Debian und auf den Windows PC, und das vom iphone, smartphone oder anderen Windows PCs bei Freunden und Bekannten, Ich weiss leider nicht mehr weiter?

pptp ging leichter nur unterstützt mein Router den GRE Port nicht und hat nur IPSec Unterstützung, deswegen dieses Problem..

Würde mich sehr freuen wenn jemand mir ein Stück helfen kann.

Gruß David

Content-Key: 173288

Url: https://administrator.de/contentid/173288

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 19.09.2011 um 11:32:55 Uhr
Goto Top
In OpenSWAN 2 sind plutoload & co. obsolet, d.h. werden nicht mehr benutzt.

Den Rest von Deinem Post habe ich in meine Kristallkugel eingeben. Wenn sie das verarbeitet hat, stelle ich entsprechende Rückfragen.
Mitglied: hobbyFI
hobbyFI 19.09.2011 um 14:22:28 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Den Rest von Deinem Post habe ich in meine Kristallkugel eingeben. Wenn sie das verarbeitet hat, stelle ich entsprechende
Rückfragen.

willst du mir damit sagen, ich hätte nciht alles gesagt? Was hab ich denn vergessen zu sagen?

Mein Netzwerkaufbau hab ich erzählt, verwendete Software, Konfigurationen, Fehler was vorhanden ist. Was felt hier denn für die Infomationen?

Fehlt die Information das der Login von jeden Internetanschluss mit Key und Zugangsdaten gehen soll?
Was soll bitte fehlen? Ich hab versucht Rückfragen zu vermeiden, OS, Software, Konfigurationen hab ich genannt jetzt...

Ich verstehe es nicht was man mir damit sagen will? plutoload hatte ich ja auch disabled hatte ich oben geschrieben und der vorhandene Fehler ist auch aufgelistet.. was ist dann nicht klar?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 19.09.2011 um 20:13:35 Uhr
Goto Top
Sorry, ich hatte heute morgen nicht viel zeit und jetzt gerade leider auch nicht. Ich bin nur nicht auf die schnelle druch deine Infos durchgestiegen.

Um mal zu scheuen, ob es prinzipielle Probleme sind, könntest Du erstmal versuchen, ob es mit einem preshared secret funktioniert, wie z.B. in http://www.it-academy.cc/article/1572/IPsecVPN+mit+OpenSWAN+einrichten. ... kurz beschrieben ist. ort steht auch eine kurze Info zu zertifikaten.

Wenn es mit PSKs funktioniert, könen wir uns dann an die Zertifikate machen.

Ich melde mich morgen wieder.

lks