Swisscom CentroBusiness 2.0 IPSec Site2Site
Übersicht
Der Business-Router von Swisscom CentroBusiness 2.0 hat standardmässig die Funktion um Site-to-Site IPSec Tunnels aufzubauen. Damit kann mal also zwei entfernte Netze miteinander verbinden oder aber einen Cloud-Server nahtlos ins eigene Netz integrieren.Die Lösung ist rudimentär und basic, funktioniert aber. Ausserdem bietet sie den Vorteil, dass man keine zusätzlichen Geräte betreiben muss.
In dieser Anleitung zeige ich Euch, wie man vom CentroBusiness 2.0 einen IPSec Tunnel zu einem Cloudserver (Cloudsigma, AWS EC2, ...) erstellt, um diesen im internen Netz verfügbar zu machen.
Ausganslage
Lokales Netz
- Swisscom CentroBusiness 2.0 Firmware 9.02.14
- öffentliche IP-Adresse 178.195.222.159
- IP-Range 192.168.1.0/24
Cloudserver
- Ubuntu 18.04 LTS
- öffentliche IP-Adresse 194.209.193.138
- IP-Range 172.16.1.0/30
Konfiguration
Swisscom-Router
- Auf's Webinterface einloggen
- Unter [Netzwerk] auf [Peer-to-Peer VPN] klicken
- [VPN-Standort hinzufügen] klicken
- Peer IP-Adresse/DNS: 194.209.193.138 (öffentliche IP vom Cloudserver)
- Peer IP-Subnetz: 172.16.1.0/30 (IP-Range vom Cloudserver)
- Passwort: {Mindestens 20 Zeichen, Gross/Klein/Sonderzeichen}
- [Hinzufügen] klicken, aktivieren und speichern
Cloudserver
- Zuerst müssen wir die Software installieren:
$ sudo apt-get update
$ sudo apt-get install racoon
- Folgende Ports öffnen: UDP/500 und UDP/4500
- Konfig-Feils editieren (Beispiele siehe unten):
- /etc/racoon/racoon.conf
- /etc/racoon/psk.txt
- Tunnel-Adresse und Routing auf dem Netzwerk-Interface erstellen:
$ sudo ip addr add 172.16.1.1/30 dev eth0
$ sudo ip route add to 192.168.1.0/24 via 172.16.1.1 src 172.16.1.1
- Nun kann Racoon testweise gestartet werden um zu sehen, ob der Tunnel aufgebaut wird. Die Option -F lässt racoon auf die Konsole loggen. Somit lassen sich allfällige Fehler sehen und beheben:
$ sudo racoon -f /etc/racoon/racoon.conf -F
- Nun von einem Netz das andere pingen (Beispiel vom Cloudserver ins lokale Netz):
$ ping 192.168.1.1
- Der Tunnel wird aufgebaut und der Ping sollte erfolgreich sein.
- Wenn alles zufriedenstellend funktioniert, Racoon im Systemd aktivieren:
$ sudo systemctl enable racoon.service
- Der Tunnel wirst erst aufgebaut, wenn Traffic darüber angefordert wird, also zum Beispiel ein Ping abgesetzt wird
- Falls es in eine Richtung nicht funktioniert, dann einmal in die andere Richtung probieren - manchmal funktioniert eine Richtung erst nachdem die andere Richtung die Verbindung anfordert
#
# NOTE: This file will not be used if you use racoon-tool(8) to manage your
# IPsec connections. racoon-tool will process racoon-tool.conf(5) and
# generate a configuration (/var/lib/racoon/racoon.conf) and use it, instead
# of this file.
#
# Simple racoon.conf
#
#
# Please look in /usr/share/doc/racoon/examples for
# examples that come with the source.
#
# Please read racoon.conf(5) for details, and alsoread setkey(8).
#
#
# Also read the Linux IPSEC Howto up at
# http://www.ipsec-howto.org/t1.html
#
log info;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";
#
remote anonymous {
exchange_mode main,aggressive;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group modp2048;
}
generate_policy on;
}
#
sainfo anonymous {
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
#
psk.txt
# IPv4/v6 addresses
178.195.222.159 {Mindestens 20 Zeichen, Gross/Klein/Sonderzeichen}
