StrongSwan: ipsec.conf im Überblick
Der Aufbau von ipsec.conf
Die Datei /etc/ipsec.conf ist nach einem bestimmten
Schema aufgebaut: Es gibt einen Abschnitt, die die globalen Parameter für IPsec
festlegt. Dazu kommen weitere Abschnitte, die eine oder mehr
Zertifizierungsstellen bzw. Verbindungen festlegen. Einer der Abschnitte sowohl
für die Zertifizierungsstellen als auch für die Verbindungen kann in dem Zuge
Einstellungen vornehmen, die für alle Abschnitte der betreffenden Sorte gelten,
die aber im Bedarfsfalle durch die Deklarationen für einzelne Verbindungen
überschrieben werden können.
Jeder Abschnitt wird dabei durch eines der Schlüsselwörter
config, ca oder
conn, gefolgt von einem Namen, eingeleitet und
enthält ein oder mehr Schlüsselwort-Wert-Paare, die allesamt mit einem
Leerzeichen beginnen müssen (Leerstelle oder Tabulator).
Kommentare können vorhanden sein, müssen jedoch mit einem Rautezeichen beginnen
und innerhalb eines Abschnitts eingerückt sein.
Dazu werden für jeden Parameter die möglichen Werte angegeben, wobei der
Defaultwert unterstrichen ist.
Diese Erklärungen basieren auf den Erläuterungen, die Sie auf strongswan.org finden.
nach obenAbschnitt config setup
In diesem Abschnitt wird festgelegt, wie StrongSwan intern mit IPsec verfahren soll. Dabei geht es um die Verwaltung von Zertifikatssperrlisten sowie Sicherheitsassoziationen. Dieser Abschnitt darf genau einmal vorhanden sein.
charonstart
Wert | Bedeutung |
---|---|
yes | charon starten |
no | charon nicht starten |
Legt fest, ob der charon-Daemon gestartet werden
soll. Da charon ab StrongSwan 5.0.0 auch das
Management von IKEv1 übernimmt, entfällt der
pluto-Daemon, weshalb es keinen Sinn ergibt, diesen
Parameter auf no zu setzen.
Vor StrongSwan 5.0.0 konnte man sich auf diesem Wege des
charon-Daemons entledigen, wenn man lediglich IKEv1
verwenden wollte und keinerlei Notwendigkeit bestand, auch auf IKEv2
zurückgreifen zu müssen.
cachecrls
Wert | Bedeutung |
---|---|
yes | CRLs lokal speichern |
no | CRLs immer vom Server holen |
StrongSwan kann angewiesen werden, etwaige CRLs lokal zwischenzuspeichern, anstatt sie jedesmal erneut vom Server herunterzuladen. Dies vermeidet zusätzlichen Datenverkehr, und die Zeit, die für die Überprüfung eines Zertifikats erforderlich ist, kann somit erheblich reduziert werden, da StrongSwan nicht auf irgendwelche Server warten muß, wenn die erforderlichen Daten bereits lokal verfügbar sind.
strictcrlpolicy
Wert | Bedeutung |
---|---|
yes | Es muß eine CRL vorliegen |
ifuri | Nur erforderlich, wenn ein CRL-URI angegeben ist |
no | CRLs sind nicht erforderlich |
Legt fest, ob eine CRL verfügbar sein muß, damit eine Authentifizierung mit
Zertifikaten durchgeführt werden kann. Ist dieser Parameter auf
yes gesetzt, so schlägt die Authentifizierung fehl,
wenn keine CRL abgerufen werden kann.
Steht dieser Wert auf no, so wird eine
Authentifizierung auch dann durchgeführt, wenn keine CRL angegeben worden ist.
er Wert ifuri wiederum weist StrongSwan an, nur dann
eine CRL zu erfordern, wenn eine Zertifizierungsstelle den URI einer CRL
angibt.
uniqueids
Wert | Bedeutung |
---|---|
yes | Immer ersetzen |
no | Nur beim ersten Kontakt ersetzen |
never | Niemals ersetzen |
replace | Immer ersetzen |
keep | Alte Informationen behalten |
Legt fest, wie mit Sicherheitsassoziationen umzugehen ist, wenn es zu einer Kollision von Teilnehmer-IDs kommt.
nach obenAbschnitt ca
nach oben
Abschnitt conn
nach oben