CentOS 7 und LibreSwan - Erfahrungen und Empfehlungen

  • Hallo,


    ich starte den Thread, um eure Meinung und Erfahrung mit LibreSwan einzuholen.


    Zu meinem Hintergrundszenarien und was ich so vorhabe


    Ist

    1. Root-Server: Betreibe seit ein paar Jahren einen kleinen VPS mit dem Packet Root-Server Happy 2016 mit ein paar Diensten darauf: Ein Gameserver, Teamspeak 3 Server sowie einen IRC Bouncer (ZNC).
    2. Lan zu Lan Kopplung zwischen meiner Wohnung und meinem Haus: Die Wohnung hat eine täglich wechselnde public IPv4 Adresse (billiger O2 Vertrag), das Haus FTTH mit DS Lite: Somit verbindt sich die Fritzbox vom Haus immer mit der Fritzbox der Wohnung (über DynDNS eines anderen Webhosters). Zusätzlich wähle ich mich mit meinem Apfelphone im Ausland auf die Fritzbox der Wohnung, um eventuell geogeblockte Inhalte der öffentlich Rechtlichen trotzdem konsumieren zu können. Außerdem habe ich Zugriff auf alle Dienste in der Wohnung und im Haus (NAS, PI mit Bilder von Überwachungskameras etc.)


    Soll

    Das Szenario oben soll abgelöst werden, weil die Wohnung bis Mitte 2020 gekündigt wird und ich somit keine Verbindung mehr auf die Dienste im Haus habe.

    Nun habe ich etwas recherchiert und erfahren, dass die Fritzbox nur IKEv1 XAUTH mit PSK kann. Wenn der Standard verwendet wird, benötige auf dem Apfel zudem keine extra App:

    Auf dem oben genannten VPS möchte ich gerne LibreSwan installieren, der soll als "Einwahl-Server" dienen (Server gibt es bei LibreSwan glaub ich nicht) und die Fritzbox der Wohnung ersetzten.


    Wie bereits oben beschrieben, würde ich mich über einen Erfahrungsaustausch freuen, vor allem auf was ich achten sollte oder ob es eine besser Lösung gibt.

    OpenVPN fällt wg. dem oben genannten support der Frittenbox leider weg.

    Außerdem bräuchte ich noch ein paar Tipps, welche Konfiguration ich bei libreswan verwenden solle (Host to host, Host to client)?


    Gruß, Michael


    Ressourcen:

    FRITZ!Box mit einem Firmen-VPN verbinden

    VPN server for remote clients using IKEv1 XAUTH with PSK

    Host to host VPN with PSK

    libreswan

  • Ich habe zu den Thema auch schon mal meine Erfahrung gemacht, weil ich auch Plane zu was gleiches zu Bauen.


    1. Das Fritz VPN geht nur mit einer öffentliche IPv4 Adresse, weil AVM den Support für IPv6 nicht eingebaut hat, keine Ahung Warum, sollte mal Ärger beim AVM Support machen, habe den mal auf den Youtube Channel geschrieben, dass die das mal machen sollen?


    2. Ich habe das ganze mal mit Strongswan aus den Paketquellen von Debian 9 probiert und eine Verbindung auch hinbekommen, doch diese hielt immer so ca. 1 -2 Stunden nur und wurde nicht mehr automtisch aufgebaut und war nicht besonders Stabil gewessen.

    Das Fritzbox VPN ist manchmal etwas zickig und will dann nicht mehr und haut viele Fehler in den Log der Fritzbox.


    Ich habe Zuhause auch ein DSL Anschluss von 1 & 1 (Marcel Davis) mit DS-Light, sprich nur IPv6 Adresse.

    Wir können ja zusammen Probieren so was auf zu Bauen und so Optimieren, weil die Anleitungen im Internet sind sehr ungenau und fast alle veraltet.


    Danke: Schon mal für den Tipp mit Libreswan, weil ich kannte nur Openswan und strongSwan


    Ich werde mal später meine Quellen und Konfidatei hier öffentlich machen, weil ich alles zusamen Suchen muss.

  • Hallo,


    zu den Problemen mit dem AVM Produkt Fritzbox:

    Fritzbox VPN geht, wenn es funktioniert, gut. Empfehlen kann ich das Tool "FRITZ!box-Fernzugang einrichten". Damit kannst du sehr leicht Configdateien generieren und der Fritte mitgeben. Das Webinterface glänzt hier nicht.

    Wie du bereits angemerkt hast, wird kein IPv6 unterstützt, macht aber nichts, solgane du eine IPv4 Adresse hast. Wichtig ist, dass in der erzeugen CFG der Parameter "always_renew" auf yes steht. Hab ich verbummelt, habe aber kurzerhand auf einem PI einen Crontab eingerichtet, der alle 15 Minuten meine Wohnungs-Fritte pingt, somit steht der Tunnel permanent (wollte die Config nicht mehr ändern, never touch und so...).


    Bei meinem Provider am Haus (Inexio) habe ich feststellen müssen, dass ich nichtmal eine Public IPv6 Adresse habe. Bei DS Lite werden die Packete vom Provider intern irgendwie verpackt/getunnelt und nach außen weitergeschickt. Hat dann die Auswirkung, dass Packete mal ankommen, mal nicht. Daher würde dir eine IPv6 Unterstützung auch nichts bringen. Leider finde ich die Quelle dazu nicht mehr, hatte ich mal auf einen Blog gelesen. Zudem habe ich da auch bei meinem Provider nachgefragt. Für eine IPv6 Adresse brauchts Geld...


    Aber mein Root-Server (VPS) hat ja eine fixe IP Adresse, da könnte ich sogar DNS einrichten (ohne DynDNS).


    Wie waren deine Erfahrungen mit StrongSwan? Ich glaube das ist rechte kommerziell ausgerichtet und traue da nicht so ganz über den Weg. Allerdings traue ich mich auch noch nicht so wirklich an LibreSwan, möchte meinen Server nicht schießen, aber ich werde das jetzt mal so testen und hier berichten.


    Gruß,

    Michael

  • Doch mir würde die IPv6 Unterstüzung jetzt was bringen, weil ich bekomme von 1&1 ein IPv6-Präfix mit /52 zugeteilt und nur IPv4 wird getunnelt durch DS-Light (nicht von Außen erreichbar und man verliert auch SSH Verbindung nach ca 30-45 Min).

    Im Mobilnetz von Vodafon habe ich auch endlich nun IPv6 vorhanden.


    Bist du dir Sicher das du keine IPv6-Präfix bekommst, weil evtl zeigt deine Fritzbox das nicht an?

    Das kannst du in der Fritz Box mit der Erweitern Ansicht unter Internet -> Online Monitor sehen:

    pasted-from-clipboard.png


    pasted-from-clipboard.png


    Daher soll AVM aus dem Schlaf kommen und das Einführen.


    Ja, ich habe das mit den AVM VPN Tool gemacht, weil ich das mit den Webinterface auch weis, evtl habe ich den Prameter vergessen, weil ich hatte in der Testphase ein Dauerping von Server gemacht und die Verbindung nach einer Stunde einfach verloren.

  • Nachtrag: Das ganze habe nicht mit meiner Fritzbox gemacht, sondern die von meine Eltern bei Kabel Deutschland (Vodafon Cabel) mit richtigen Dual Stack Anschluss und nun haben meine Eltern nicht mehr diesen Anschluss wegen Umzug neuer Anbieter Pyur (nur IPv4 vorhanden und IPv6 über Tunnel bei he.net in Frankfurt).


    Da muss ich aber die Telekom loben, weil diese nur DSL Anschlüsse mit Dual Stack verkaufen (hat meine Oma).

    Vodafon hat in DSL auch kein IPv6 und bei Fernsehr Kabel nur IPv6 mit DS-Light. :thumbdown:

    Edit: Inexio scheint auch keine IPv6 zu haben laut dieser Webseite https://bgpview.io/asn/8899#prefixes-v4

  • Kleines Update dazu:

    Habe mich gestern hingesetzt und die VPN Verbindung zwischen Mobiltelefon (Apfel) und Server steht, ohne zusätzliche App.

    Sollte da jemand interesse haben, kann ich meine Installations- und Konfigurationsschritt hier kurz posten.


    Jetzt kommt die Herausforderung Fritzbox ...


    Gruß,

    Michael