Workshop: VPN mit Linux (Teil 2)

ipsec.conf einrichten

Jetzt gilt es, die bereits vorhandene ipsec.conf aus dem Archiv für Ihre Zwecke anzupassen. Deren Syntax ähnelt stark jener der gleichnamigen Free-S/WAN-Steuerdatei. Im ersten Abschnitt geben Sie unter conn %default eine Dial-up-Verbindung an, die bei der Verbindungsaufnahme zum Security Gateway automatisch gestartet werden soll.

Es folgt ein benannter conn-Abschnitt mit den Parametern für die VPN-Verbindung. Die zu verwendende lokale Adresse definieren Sie als left=%any für die automatische Übernahme der Client-Adresse. Unter right tragen Sie die IP-Adresse des VPN-Gateway ein, der Parameter rightsubnet enthält die IP-Adresse und Netzmaske des zu kontaktierenden LAN. Hier können Sie sowohl mit impliziter (172.16.0.0/16) als auch expliziter (172.16.0.0/255.255.0.0) Notation arbeiten.

Die rightca ist jene der Certification Authority, die das Benutzerzertifikat unterzeichnet hat. Der Parameter network gibt an, ob die Verbindungsaufnahme via Einwahl (network=ras), LAN (network=lan), oder je nach Verfügbarkeit über beides (network=both) erfolgen soll. Dabei initiiert in unserem Fall der Client die Verbindung (auto=start) und operiert mit Perfect Forwarding Secrecy (pfs=yes).

Optional kann die ipsec.conf auch noch Parameter für die (weniger sichere) Verbindungsaufnahme über Preshared Keys enthalten. Diese finden Sie bei Bedarf in der Erläuterung zu dieser Konfigurationsdatei.