IPsec mit strongSwan und FRITZ!Box
Weil ich selbst so lange rumsuchen musste bis ich es gefunden habe dokumentiere ich hier kurz, wie ich meine FRITZ!Box 6490 (OS: 6.87) und meinen strongSwan-Server unter Debian/Stretch erfolgreich gekoppelt bekommen habe.
Das Setup war eigentlich recht einfach: Ein Heimnetz, welches über die FB6490 mit dem Internet verbunden war sollte Zugriff auf ein Subnetz erhalten, welches über ein VPN-Gateway mit strongSwan erreichbar war.
Da sich die IP-Adresse der FB6490 gelegentlich ändert wird dort für DNS der
Dienst MyFRITZ! verwendet - allerdings nur für DNS, die Freigaben sind
deaktiviert. Diese Namen sind teilweise etwas kryptisch, und wenn man mehr als
eine Box hat, dann kommt man da leicht durcheinander, vor allem, da die Namen
auch Lookup-Keys für die Passwörter in der ipsec.secrets
-Datei sind. Deswegen
verwende ich eine etwa, äh, “sprechendere” ID.
Die folgenden Daten waren für die Konfiguration notwendig:
Key | Explanation | Value |
---|---|---|
$NAME |
Name der Verbindung | FRITZ!Box MUC |
$HOMENET |
Heimnetz | 192.168.1.0/24 |
$HOMENET_MASK |
Heimnetz-Netzmaske | 255.255.255.0 |
$DYNDNS_NAME |
MyFRITZ!-Hostname | example.myfritz.net |
$FB_ID |
“sprechende” ID: | fritzbox-muc.example.com |
$GATEWAY |
FQDN des strongSwan-Gateway |
gateway.example.com |
$PSK |
Shared Secret | VERYSECRET |
$REMOTE_NET |
Remote-Netzwerk | 10.14.8.0/24 |
$REMOTE_NET_MASK |
Netzmaske des Remote-Netzwerk | 255.255.255.0 |
Das Konfigurationsdatei für die FRITZ!Box sieht dann so aus:
|
|
Die Responder-Konfiguration des strongSwan in der ipsec.conf
sieht
folgendermaßen aus:
|
|
Dazu gehört dann eine Passwort-Zeile in der ipsec.secrets
:
|
|
Das ganze funktioniert bisher problemlos.
BTW: Für diesen Aritkel habe ich jetzt so lange gebraucht, dass die Konfiguration mittlerweile nach Puppet gewandert ist und diese Anleitung damit unnötig geworden ist. Ich lasse sie aber trotzdem mal hier, vielleicht kann sie wer brauchen.