Tipps & Tricks: IPSec IKEv2 Client auf OpenWRT Routern

Gerd

Outstanding Member
Hallo.

Ich versuche auf einem OpenWRT (18.06.2) Router (Asus AC56U) eine IPSec IKEv2 Verbindung einzurichten.

Im OpenWRT Forum habe ich einen neuen Thread aufgemacht, mit der Hoffnung, dass mir dort weiter geholfen wird. Leider habe ich bis jetzt keine Antworten bekommen. Die Anleitung habe ich teils von anderen VPN Anbietern für Linux (z.B. Ubuntu) abgeschaut.

Bei wiki.strongswan.org habe ich mich auch versucht zu registrieren. Leider warte ich bis heute auf die Aktivierung des Accounts.

Vielleicht kann ein PP Admin oder jemand anders weiter helfen.

Grüße

Gerd
 
Solution
Jetzt habe ich die IKEv2 Konfiguration auf einem Linux Betriebssystem hingekriegt. Hier nochmal die vollständige Anleitung:

Code:
sudo apt-get update
Code:
sudo apt-get install strongswan libstrongswan-extra-plugins libcharon-standard-plugins libcharon-extra-plugins resolvconf
Code:
sudo dpkg-reconfigure resolvconf

Linuxsystem restarten.

perfect-privacy_ipsec_ca.crt downloaden und in /etc/ipsec.d/cacerts/ Ordner ablegen.

In /etc/ipsec.conf folgende Konfiguration ganz unten hinzufügen:
Code:
conn PP
        keyexchange=ikev2
        dpdaction=none
        dpddelay=300s
        inactivity=36000s
        rekey=no
        leftsourceip=%config4,%config6
        leftsendcert=never
        leftauth=eap-mschapv2
        rightauth=pubkey...
Ich habe mittlerweile die Konfiguration auf einem Linux Betriebssystem ausprobiert und auch kein Erfolg gehabt. Also schließe ich daraus, dass es nur an der Strongswan Konfiguration liegen kann. Wenn es jemand auf einem Linux Betriebssystem hinkriegt, dann wäre es auch theoretisch auf einem OpenWRT Router möglich.

Hier ist die Konfiguration von Linux:

Code:
sudo apt-get update
sudo apt-get install strongswan libstrongswan-extra-plugins libcharon-extra-plugins

perfect-privacy_ipsec_ca.crt downloaden, Dateiendung in .pem umändern und in /etc/ipsec.d/cacerts/ Ordner ablegen.

In /etc/ipsec.conf folgende Konfiguration ganz unten hinzufügen:
Code:
conn PP
        keyexchange=ikev2
        dpdaction=clear
        dpddelay=300s
        eap_identity="PPBenutzername"
        leftauth=eap-mschapv2
        left=%defaultroute
        leftsourceip=%config
        right=amsterdam.perfect-privacy.com
        rightauth=pubkey
        rightsubnet=0.0.0.0/0
        rightid="C=CH, ST=Zug, L=Zug, O=Perfect Privacy, CN=Perfect Privacy IPSEC CA, E=admin@perfect-privacy.com"
        rightca=/etc/ipsec.d/cacerts/perfect-privacy_ipsec_ca.pem
        type=tunnel
        auto=add

In /etc/ipsec.secrets folgende Zeile hinzufügen und Benutzername und Passwort ändern:
Code:
PPBenutzername : EAP "PPPasswort"

Mit
Code:
sudo ipsec restart
IPSec restarten.

Und mit
Code:
sudo ipsec up PP
die Konfiguration starten.

Wie gesagt, man muss noch die PP-Konfiguration anpassen. Vielleicht hat jemand mehr Erfahrung.
 
Ich kann mittlerweile eine strongsSwan IKEv2 Verbindung auf einem Linux Betriebssystem herstellen. Letztes mal hat es nicht geklappt, weil das Paket libcharon-standard-plugins nicht installiert war. Allerdings wird die IPv6 IP geleakt.

Für die Konfiguration muss man diese Pakete installieren:

Code:
sudo apt-get update
sudo apt-get install strongswan libstrongswan-extra-plugins libcharon-standard-plugins libcharon-extra-plugins

Ob ihr diese Konfig. oder die Obere nehmen wollt, liegt an euch:

Code:
conn PP
        keyexchange=ikev2
        dpdaction=none
        dpddelay=300s
        inactivity=36000s
        rekey=no
        leftsourceip=%config
        leftsendcert=never
        leftauth=eap-mschapv2
        rightauth=pubkey
        right=amsterdam.perfect-privacy.com
        rightid=%any
        rightca=/etc/ipsec.d/cacerts/perfect-privacy_ipsec_ca.pem
        rightsubnet=0.0.0.0/0,::/0
        rightsendcert=always
        eap_identity="PPBenutzername"
        type=tunnel
        auto=add

Vielleicht weiß ein Linux-Kenner oder ein PP-Administrator, wie man diesen IPv6 Leak verhindert.

(Als Info: Die strongSwan Konfiguration geht nicht mit allen Servern.)
 
Jetzt habe ich die IKEv2 Konfiguration auf einem Linux Betriebssystem hingekriegt. Hier nochmal die vollständige Anleitung:

Code:
sudo apt-get update
Code:
sudo apt-get install strongswan libstrongswan-extra-plugins libcharon-standard-plugins libcharon-extra-plugins resolvconf
Code:
sudo dpkg-reconfigure resolvconf

Linuxsystem restarten.

perfect-privacy_ipsec_ca.crt downloaden und in /etc/ipsec.d/cacerts/ Ordner ablegen.

In /etc/ipsec.conf folgende Konfiguration ganz unten hinzufügen:
Code:
conn PP
        keyexchange=ikev2
        dpdaction=none
        dpddelay=300s
        inactivity=36000s
        rekey=no
        leftsourceip=%config4,%config6
        leftsendcert=never
        leftauth=eap-mschapv2
        rightauth=pubkey
        right=amsterdam.perfect-privacy.com
        rightid=%any
        rightca=/etc/ipsec.d/cacerts/perfect-privacy_ipsec_ca.crt
        rightsubnet=0.0.0.0/0,::/0
        rightsendcert=always
        eap_identity="PPBenutzername"
        type=tunnel
        auto=add

In /etc/ipsec.secrets folgende Zeile hinzufügen und Benutzername und Passwort ändern:
Code:
PPBenutzername : EAP "PPPasswort"

Mit
Code:
sudo ipsec restart
IPSec restarten.

Und mit
Code:
sudo ipsec up PP
die Konfiguration starten.
 
Solution
Back
Top