IPSec-Server (und Client??) "shrew" auf FritzBox - Wer testet ??

[MaxMuster]

Hallo zusammen,

da es auf den Boxen ohne AVM-VPN auch keinen IPSec-Client gibt, wollte ich mal was dafür bauen. OpenSWAN habe ich nicht hinbekommen, und mich deshalb mal an shrew versucht.
Nach viel kämpfen mit "cmake" und der Tatsache, dass ich gern ein statisches Binary heraushaben wollte, ist mir zumindest das Kompilieren gelungen....

Hier in Stichworten der Ablauf (mit freetz-toolchain):

EDIT: Ist jetzt mit neuem Patch deutlich einfacher, siehe Beitrag #8 weiter unten

Ergebnis-Binary und Patch sind im Anhang, Config muss nach "/var/local/etc" auf der Box...

Viel Erfolg ;-)


Jörg

 

[meiser79]

Hi,

um Shrew statisch zu bauen, hab ich damals folgenden Patch genutzt. Damit werden die *.a (und nicht *.la bzw *.so*) gebaut.

Vielleicht solltest Du im Thread-Titel noch "Client" durch "Server" ersetzen.

Gruß,
Whoopie

 

[MaxMuster]

Ist ja deutlich hübscher und eleganter als mein "brute force" Ansatz ;-). Ich hatte gestern einfach keine Lust mehr...
Hast du das nur generell statisch für dich oder auch für die Box gebaut?

Jörg

 

[RalfFriedl]

Vielleicht solltest Du im Thread-Titel noch "Client" durch "Server" ersetzen.

IPSEC ist doch relativ symmetrisch?

 

[meiser79]

@MaxMuster: Ich wollte auf meinem Laptop nur eine neuere Shrew-Version testen und dabei die libike.so* und libpfk.so* loswerden. Für die FritzBox hatte ich es noch nicht gebaut.

@RalfFriedl: Stimmt schon, aber MaxMuster bietet hier den iked an, also den Daemon bzw. Server.

 

[MaxMuster]

"iked" ist ja, nachdem ich das heute nochmal gelesen habe, auch erstmal "nur" für den IKE zuständig und wird dann vom "eigentlichen Client" (ikea(!) beim shrew) gesteuert.
Hab ich wohl nicht so richtig gelesen. Muss ich das denn mit diesem GUI-Kram machen? Kann ich nicht auch direkt eine CLientverbindung damit initiieren?

Jörg

 

[meiser79]

Hab es bisher nur mit dem ikea gemacht, aber schau mal in die Man-Page von iked.conf. Man kann das scheinbar auch damit realisieren.

 

[MaxMuster]

Habe mal deinen Patch-Ansatz mit eingearbeitet, so ist es doch deutlich einfacher ;-)

# Source holen und entpacken
wget http://www.shrew.net/download/ike/ike-2.1.4-release.tgz
tar xvzf ike-2.1.4-release.tgz

# ein paar Kleinigkeiten und was zum statischen Linken ändern...
patch -p0 < shrew_ike_2.patch

# den Pfad zu den Freetz-Binaries ergänzen
PATH=$PATH:~/freetz-trunk/toolchain/target/bin

# Ins Verzeichnis
cd ike

CC="mipsel-linux-gcc" CXX=mipsel-linux-g++  AR=mipsel-linux-uclibc-ar AS=mipsel-linux-uclibc-as LD=mipsel-linux-uclibc-ld  CFLAGS="-Os -static -pipe -march=4kc -Wa,--trap" ARCH=mips CMAKE_INCLUDE_PATH=~/freetz-trunk/toolchain/target/include  LDFLAGS=-static CMAKE_LIBRARY_PATH=~/freetz-trunk/toolchain/target/lib cmake -DETCDIR=/var/local/etc  -DNATT=YES .

# Binary bauen
make
# nur noch verkleinern
mipsel-linux-strip source/iked/iked

Neuer Patch ist im Anhang, Binary ist ja schon oben ;-)

Jörg