StrongSwan: StrongSwan konfigurieren
Allgemeines zur Einrichtung
Auch wenn StrongSwan zwei Varianten von IPsec unterstützt, so werde ich mich
jedoch nur auf eine der beiden beschränken. So ist
IKEv1 doch schon
ziemlich in die Jahre gekommen, zumal es in mancher Hinsicht Probleme bereitet,
insbesondere im Zusammenhang mit
NAT. Zudem ist der Prozeß
bei der Aushandlung der Verbindungsschlüssel vergleichsweise umständlich.
In dieser Hinsicht ist IKEv2 deutlich ausgereifter, weshalb diese Variante Ihre
Wahl für IPsec-Verbindungen sein sollte. Da StrongSwan jedoch beides
unterstützt, können Sie im Bedarfsfalle auch beides verwenden – ich werde mich
hier darauf beschränken, die Einrichtung von IKEv2-Verbindungen zu erläutern.
strongswan.conf
In dieser Datei legen Sie das Verhalten von StrongSwan selbst fest. Hierin befinden sich solche Einstellungen wie die zu ladenden Plugins, die zu verwendenden kryptographischen Algorithmen oder aber auch die zu verwendenden Identitäten, wenn sich StrongSwan beispielsweise mit MySQL oder einem RADIUS-Server verbinden soll. Aber auch das Nachrichtenlogging sowie die Interna, wie StrongSwan mit IPsec arbeiten soll, werden hier eingestellt.
Dazu werden verschiedene Bereiche angelegt, die durch einen Namen eingeleitet
und durch geschweifte Klammern umschlossen werden. Hierin können weitere
Unterbereiche sowie Name-Wert-Paare enthalten sein, die die diversen
Vereinbarungen treffen.
Bitte beachten Sie, daß Sie innerhalb dieser Datei keine Zertifizierungsstellen
oder Verbindungen definieren können!
ipsec.conf
In dieser Datei legen Sie fest, wie StrongSwan mit IPsec-Verbindungen arbeitet.
Dazu legen Sie allgemeingültige Parameter fest, die IPsec insgesamt
beeinflussen, sowie Zertifizierungsstellen und Verbindungen. In Letzteren
können Sie für jede Zertifizierungsstelle und jede Verbindung individuell
festlegen, wie sie gehandhabt werden soll, wobei Sie sehr wohl Default-Werte
angeben können, die für alle Zertifizierungsstellen oder Verbindungen gelten,
die Sie im Bedarfsfalle jedoch überschreiben können.
Diese Datei darf nur einen einzigen Abschnitt für allgemeine Einstellungen
enthalten, doch können Sie beliebig viele Zertifizierungsstellen und
Verbindungen einrichten.
ipsec.secrets
In dieser Datei geben Sie die geheimen Teile der Zugangskontrolle an. Sie
können hier verschiedene Geheimnistypen angeben, die von gemeinsamen Schlüsseln
über kryptographische Algorithmen und erweiterte Authentifizierungsverfahren
bis hin zu Smartcards und
PKCS#12-Containern.
Die Anzahl enthaltener Geheimnisse ist dabei nicht beschränkt.
Die Konfiguration
Um StrongSwan konfigurieren zu können, müssen Sie alle drei hier benannten
Dateien so anpassen, wie es für Ihre Bedürfnisse am ehesten paßt. Dabei ist es
i. d. R. nur einmal erforderlich, strongswan.conf
zu verändern; danach bleibt ihr Inhalt weitestgehend konstant. Weitere
Änderungen sind nur dann vonnöten, wenn Sie bestimmte Einstellungen an neue
Entwicklungen anpassen oder zusätzliche Features von StrongSwan einsetzen
wollen.
Die beiden anderen Dateien müssen Sie jedesmal dann anfassen, wenn Sie neue
Verbindungen oder Zertifizierungsstellen einrichten oder nicht mehr benötigte
löschen wollen. Aber auch wenn sich Veränderungen ergeben, ist es erforderlich,
daß Sie diese Dateien verändern, z. B. um auf ein anderes
Authentifizierungsverfahren umzustellen, wenn Sie Subnetze hinter irgendwelchen
Endpunkten ins Kalkül ziehen wollen, o. ä. – oder schlicht und ergreifend weil
Sie den Modus einer Verbindung umschalten wollen.