Kann OpenSWAN OpenVPN ersetzen?

7

Hintergrund

Ich habe gerade ein funktionierendes OpenVPN-Setup, bei dem Benutzer das private Netzwerk zu Hause mit ihren Computern verbinden können.

Die meisten Telefone unterstützen jedoch nur IPSec. Daher möchte ich für Telefone mit IPSec denselben Service anbieten wie für Computer mit OpenVPN.

Problem

Ich kann keine Tutorials finden, die beschreiben, wie OpenSWAN so konfiguriert wird, dass dem Client eine private IP angeboten wird.

Bei meinem OpenVPN müssen Clients einen Schlüssel und eine Passphrase angeben, um Zugriff zu erhalten.

Frage

Kann OpenSWAN so konfiguriert werden, dass es den Clients eine private IP-Adresse gibt, ähnlich wie bei meinem OpenVPN-Setup?

OpenVPN-Konfiguration

port 1194
proto udp
dev tun
ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt
cert /etc/openvpn/secrets/server.crt
key /etc/openvpn/secrets/server.key
dh /etc/openvpn/secrets/dh1024.pem
server 192.168.240.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 10.10.64.0  255.255.252.0"
push "dhcp-option DNS xxx.xxx.xxx.xxx"
duplicate-cn
keepalive 10 120
comp-lzo
user openvpn
group openvpn
persist-key
persist-tun
status /var/log/openvpn-status.log
log-append  /var/log/openvpn.log
verb 4
mute 20
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so "/etc/openvpn/auth/ldap.conf"
script-security 2
auth-user-pass-verify /etc/openvpn/scripts/check_cn_on_connect.sh via-env
learn-address /etc/openvpn/scripts/log_clients_ip.sh
linux ubuntu centos openvpn openswan Sandra
quelle

Antworten:

6

IPSec funktioniert anders als OpenVPN. Ich denke, Sie können mit SWAN nicht genau dasselbe tun wie mit OpenVPN. Es gibt OpenVPN-Clients für Telefone, aber viele von ihnen enthalten nur IPSec-Clients.

Was Sie wahrscheinlich tun möchten, ist, einen Tunnel mit OpenSWAN einzurichten und dann diese Tunnelverbindung zu verwenden, um eine PPP-Verbindung / L2TP darüber zu starten. Dies wird der Teil sein, der dafür verantwortlich ist, den Straßenkämpfern die "Kunden-IP" zur Verfügung zu stellen. Dies ist ein Artikel mit einigen Beispielen. Die OpenSWAN-Site enthält auch einige schnelle Informationen .

Denken Sie auch daran, dass IPSec im Allgemeinen im Umgang mit NATs schrecklich ist und die Komplexität des Setups erhöhen kann.

Core-Dump
quelle
OpenSWAN soll also nicht vielen Clients den Zugriff auf ein privates Netzwerk ermöglichen, sondern nur host2host?
Sandra
1
Nein, OpenSWAN erstellt nur einen Transport, kümmert sich nicht um Schnittstellen und ähnliches. Sie können viele PPP-Verbindungen erstellen und alle verwenden die zugrunde liegende IPSec, die von OpenSWAN erstellt wurde.
Coredump