Freetz IPSEC-VPN

[scoace]

Hallo Gemeinde,

zuerst mal ein dickes Lob an die freetz Entwickler. Echt großes Kino. Was mir persönlich fehlt ist ein IPSEC-VPN. Jetzt habe ich gesehen, das im trunk die ipsec-tools (racoon) dabei sind. Hat jemand diese Lösung am laufen oder und hat es jemand schon geschafft über IPSEC mit Zertifikaten zu authentisieren ? BTW warum hat man sich für racoon entschieden und nicht für StrongSwan ?

Gruß

scoace

 

[olistudent]

Jeder darf zu Freetz beitragen. Deshalb hat sich niemand gegen StrongSwan entschieden. Du darfst gerne Patches dafür bereit stellen. ;-)

Gruß
Oliver

 

[scoace]

Jeder darf zu Freetz beitragen.

Hi Oliver,

danke für die Einladung. Aber was ich gerne wissen würde, gibt es irgendwelche technische Hindernisse die gegen StrongSwan sprechen (ausser vielleicht gmp lib) und für Racoon ?

Gruß

Scoace

 

[MaxMuster]

... ipsec-tools (racoon) dabei sind. Hat jemand diese Lösung am laufen oder und hat es jemand schon geschafft über IPSEC mit Zertifikaten zu authentisieren

Ja, (hatte ich zumindest mal, aber nur zum Testen, nicht "produktiv"). Momentan müsstest du zumindest einige Module im Kernel "von Hand" anwählen (sepziell "xfrm", denn das An- oder Abwählen davon würde immer ein neues Übersetzen der iptables-Module erfordern, siehe Ticket #854).

Vor geraumer Zeit hatte ich mal mit StrongSwan gespielt, war aber nie zuende gekommen. Ich weiß aber echt nicht mehr, wo das "geendet" hatte. Aber meistens klappt es recht gut, die Ansätze und Patches vom OpenWRT an Freetz anzupassen...


Jörg

 

[MaxMuster]

Anfang für Freetz-Paket StrongSWAN

Mal "auf die Schnelle" ein "Binary only" Patch für den Trunk.

Das entstandene Binary ist nicht getestet, und beim "nicht-statischen" Bauen werden die Plugins nicht "installiert". Irgendwie ist bei dem ganzen Konstrukt um
STRONGSWAN_PLUGLIBS_BUILD_DIR
noch der Wurm drin, falls sich damit jemand auskennt...

Die benötigten Kernel-Module müssen zudem noch von Hand im "make kernel-menuconfig" gewählt werden (siehe Kommentar dazu oben).

Aber es ist schonmal ein Ansatz zum weiterbauen, denke ich ;-)

Jörg

 

[scoace]

Hi Jörg,

ich habs auch mal reingefriemelt. (Nur mal um zu sehen ob es durchläuft) Werde mir deine Arbeit bei Gelegenheit (heute Abend !?) mal antun. Habe mir auch mal die Openwrt-Geschichte rudimentär angeschaut. Scheint definitiv mehr Aufwand zu sein als Racoon. Würde aber trotzdem Strongswan bevorzugen da sehr gut Dokumentiert und IKEv2 Support und m.E gute Pflege.

Gruß

scoace

 

[scoace]

Hallo Jörg,

dein Patch sieht doch schonmal ganz gut aus. Das mit den plugins muss doch auch noch zu lösen sein. Ansonsten versuche ich das VPN mit dem statisch gelinkten Binary demnächst mal zu testen.

Gruß und Danke

scoace

 

[jokr]

ikev2

Hallo,

an einer Lösung wäre ich auch interessiert. Gibt es schon Fortschritte?

VG

Jo

 

[scoace]

Hi Jo,

Jörg hat einen Patch für den Trunk geliefert, der allerdings noch ein kleines Manko besitzt das er oben auch beschreibt. Sobald mein beruflicher Streß etwas nachläßt, werde ich mir die Sache nochmal anschauen, da ich auch sehr an einer solchen Lösung interessiert bin.

Gruß

scoace

 

[bytebari]

Nutzung FB 7050

Hallo,
ich würde gern eine VPN-Verbindung ohne OpenVPN von einer 7050 zu einer 7270 herstellen. Ich finde nirgends ein Howto zu IpSec-tools.
Vielleicht kann einer mit einem Patch helfen und das kurz erklären. Am besten wäre es ins Freetz aufzunehmen. anklicken -> Webif -> fertig
Vielleich kann man ja auch irgendwie das originale AVMike in der 7050 zum laufen bekommen.

Vielen Dank

byte

 

[RalfFriedl]

Wir nehmen Patches gerne entgegen.

 

[rdadas]

hi an alle

ich versuche grade eine verbindung von meiner fb7270 an ein strongswan gateway auf zu bauen. habe aber noch die finger von freetz gelassen.
unterstützt es denn ikev2?
und ist mittlerweile ein neuer patch draussen?
die beiträge sind hier ja etwas älter wie ich sehe

gruss

rdadas