IPsec

Siehe auch

• OpenVPN

• Wireguard

• Icinga-Check:

  https://github.com/Linuxfabrik/monitoring-plugins/tree/main/check-plugins/strongswan-connections

IPsec auf Fedora

Es braucht:

dnf install 'NetworkManager-l2tp*'

Dann lässt sich eine IPsec-Verbindung wie folgt konfigurieren:

• GNOME > Network > VPN > Add VPN: Layer 2 Tunneling Protocol (L2TP)

Siehe auch https://github.com/nm-l2tp/NetworkManager-l2tp/blob/master/README.md

Libreswan oder Strongswan?

Was wird eingesetzt?

ipsec --version

Troubleshooting

Welche IKEv1-Algorithmen werden vom VPN-Server unterstützt?

ike-scan.sh

#!/bin/sh

# Encryption algorithms: 3des=5, aes128=7/128, aes192=7/192, aes256=7/256
ENCLIST="5 7/128 7/192 7/256"
# Hash algorithms: md5=1, sha1=2, sha256=5, sha384=6, sha512=7
HASHLIST="1 2 5 6 7"
# Diffie-Hellman groups: 1, 2, 5, 14, 15, 19, 20, 21
GROUPLIST="1 2 5 14 15 19 20 21"
# Authentication method: Preshared Key=1, RSA signatures=3
AUTHLIST="1 3"

for ENC in $ENCLIST; do
   for HASH in $HASHLIST; do
       for GROUP in $GROUPLIST; do
          for AUTH in $AUTHLIST; do
             echo ike-scan --trans=$ENC,$HASH,$AUTH,$GROUP -M "$@"
             ike-scan --trans=$ENC,$HASH,$AUTH,$GROUP -M "$@"
          done
      done
   done
done

chmod +x ike-scan
dnf -y install ike-scan
sudo ./ike-scan.sh vpn.example.com | grep SA=

Ein Output der Form

SA=(Enc=3DES Hash=MD5 Auth=PSK Group=2:modp1024 LifeType=Seconds LifeDuration(4)=0x00007080)
SA=(Enc=3DES Hash=SHA1 Auth=PSK Group=2:modp1024 LifeType=Seconds LifeDuration(4)=0x00007080)

bedeutet, das Phase1-Algorithmen auf das hier gesetzt werden können:

3des-md5-modp1024,3des-sha1-modp1024

Phase2 sollten gesetzt werden auf (diese werden von Windows 10 und iOS verwendet, also der kleinste gemeinsame Nenner):

aes256-sha1,aes128-sha1,3des-sha1

Wer im NetworkManager sehen möchte, was beim Verbindungsaufbau passiert:

sudo killall -TERM nm-l2tp-service
sudo /usr/libexec/nm-l2tp-service --debug

Built on 2024-04-18