Durch eine DSL Umstellung von ADSL auf VDSL mit VoIP hat ein Internetdienstleister eine Digitalisierungsbox Smart bereitgestellt. Durch das neue Endgerät sollte eine bestehende strongSwan Konfiguration für die Herstellung eines VPN Tunnels angepasst werden. Für die Verschlüsselung des VPN Tunnels wird vorerst weiterhin IKEv1 mit PSK + XAUTH eingesetzt. Bitte beachten, dieser Beitrag dient ausschließlich als Referenz zur Installation von strongSwan mit beispielhaften Konfigurationsdateien für die VPN Verbindungsherstellung mit einer Digitalisierungsbox Smart.
Plattform:
OS: Debian GNU/Linux buster/sid
Strongswan Version: 5.7.2
Installation der notwendigen Pakete mit:
user@debian:~# sudo apt update user@debian:~# sudo apt install strongswan libcharon-extra-plugins
Nach der Installation sicherstellen, dass das Plugin xauth-generic von charonD automatisch gestartet ist. Mit dem Befehl "ipsec statusall" kann man alle geladenen Plugins einsehen und darunter soll auch das Plugin "xauth-generic" aufgelistet sein. Dieses Plugin wird für die Benutzerauthentifizierungsmethode XAUTH benötigt. IPSEC und diverse Abhängigkeiten sollten bereits durch das Paket strongSwan installiert sein.
Die jeweiligen Konfigurationsdateien:
/etc/ipsec.conf (manuelle Eingabefelder sind mit ** ** gekennzeichnet)
conn rw-base dpdaction=restart dpddelay=30 dpdtimeout=90 fragmentation=yes conn vip-base also=rw-base leftsourceip=%config conn digitalisierungsboxsmart also=vip-base keyexchange=ikev1 aggressive=yes leftauth=psk leftauth2=xauth leftid=@**local FQDN** xauth_identity=**Benutzername in der Digitalisierungsbox Smart** right=**IP ADRESSE oder @DynDNS der Digitalisierungsbox Smart** type=tunnel modeconfig=pull rightauth=psk rightid=@**remote FQDN** ike=aes128-sha1-modp1536! esp=aes128-sha1-modp1536! # Wähle einen kleineren Wert für "rightsubnet" aus, falls nötig. (z. B. 192.168.178.0/24) # Entferne ", ::/0", wenn IPv6 nicht benötigt wird. rightsubnet=0.0.0.0/0,::/0 auto=add
/etc/ipsec.secrets (manuelle Eingabefelder sind mit ** ** gekennzeichnet)
@**local FQDN** : PSK **Preshared Key** **Benutzername in der Digibox** : XAUTH "**Password**"
Stelle sicher, dass die richtige Verschlüsselungsmethode unter /etc/ipsec.conf in Relation zu der Digitalisierungsbox Smart eingetragen ist. Die Digitalisierungsbox Smart sollte wie in der Konfigurationsdatei ipsec.conf identische Einstellungen aufweisen, in diesem Fall:
Phase-1-Profil: AES128 + SHA1 + DH 5
Phase-2-Profil: AES128 + SHA1 + PFS enabled = DH 5
Beachte das in den VPN Profil Einstellungen der Digitalisierungsbox Smart unter "der erweiterten Ansicht" die Phase1, Phase2 und XAUTH Profil ausgewählt ist. Sofern kein XAUTH Profil in der Digitalisierungsbox Smart eingerichtet ist, dann einen mit der Rolle "Server" erstellen. Abschließend die restlichen Befehlszeilen der strongSwan Konfigurationsdateien mit dem jeweiligen VPN Profil der Digitalisierungsbox Smart identisch abgleichen und eine Verbindung über strongSwan herstellen:
user@debian:~# ipsec up digitalisierungsboxsmart
VPN Verbindung mit Digitalisierungsbox Smart und Strongswan herstellen