IPsec-alapú VPN beállítása Strongswan segítségével a CentOS/RHEL 8 rendszeren
A strongSwan egy nyílt forráskódú, többplatformos, modern és teljes, IPsec-alapú VPN-megoldás Linuxhoz, amely teljes mértékben támogatja az Internet Key Exchange szolgáltatást (IKEv1 és egyaránt). IKEv2) biztonsági társulások (SA) létrehozására két társ között. Teljes funkcionalitású, moduláris felépítésű, és több tucat beépülő modult kínál, amelyek javítják az alapvető funkciókat.
Kapcsolódó cikk: IPsec-alapú VPN beállítása Strongswan segítségével Debianon és Ubuntun
Ebből a cikkből megtudhatja, hogyan állíthat be helyek közötti IPsec VPN-átjárókat az strongSwan használatával CentOS/RHEL 8 szervereken. Ez lehetővé teszi a társak számára, hogy erős előre megosztott kulcs (PSK) segítségével hitelesítsék egymást. A helyek közötti beállítás azt jelenti, hogy minden biztonsági átjáró mögött van egy alhálózat.
Tesztkörnyezet
Ne felejtse el használni valós IP-címeit a konfigurációk során, miközben követi az útmutatót.
1. oldal átjárója
Public IP: 192.168.56.7
Private IP: 10.10.1.1/24
Private Subnet: 10.10.1.0/24
Site 2 Gateway
Public IP: 192.168.56.6
Private IP: 10.20.1.1/24
Private Subnet: 10.20.1.0/24
1. lépés: A kernel IP továbbításának engedélyezése a CentOS 8 rendszerben
1. Kezdje azzal, hogy mindkét VPN-átjárón engedélyezze a kernel IP-továbbítási funkcióját az /etc/sysctl.conf konfigurációs fájlban.
vi /etc/sysctl.conf
Adja hozzá ezeket a sorokat a fájlhoz.
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
2. A fájl módosításainak mentése után futtassa a következő parancsot az új kernelparaméterek futásidejű betöltéséhez.
sysctl -p
3. Ezután mindkét biztonsági átjárón hozzon létre egy állandó statikus útvonalat az /etc/sysconfig/network-scripts/route-eth0 fájlban.
vi /etc/sysconfig/network-scripts/route-eth0
Adja hozzá a következő sort a fájlhoz.
#Site 1 Gateway
10.20.1.0/24 via 192.168.56.7
#Site 2 Gateway
10.10.1.0/24 via 192.168.56.6
4. Ezután indítsa újra a hálózatkezelőt az új módosítások alkalmazásához.
systemctl restart NetworkManager
2. lépés: A strongSwan telepítése a CentOS 8 rendszerben
5. Az strong>strongswan csomag az EPEL tárolóban található. A telepítéshez engedélyeznie kell az EPEL tárolót, majd telepítenie kell a strongwant mindkét biztonsági átjáróra.
dnf install epel-release
dnf install strongswan
6. A mindkét átjáróra telepített strongswan verziójának ellenőrzéséhez futtassa a következő parancsot.
strongswan version
7. Ezután indítsa el a strongswan szolgáltatást, és engedélyezze, hogy automatikusan elinduljon a rendszerindításkor. Ezután ellenőrizze mindkét biztonsági átjáró állapotát.
systemctl start strongswan
systemctl enable strongswan
systemctl status strongswan
Megjegyzés: A strong>strongswan legújabb verziója a CentOS/REHL 8 rendszerben mindkét swanctl-t támogatja. (a strongSwan 5.2.0-val bevezetett új, hordozható parancssori segédprogram, amely a Charon IKE démon konfigurálására, vezérlésére és figyelésére szolgál a vici beépülő modul segítségével) és indító (vagy ipsec) segédprogramot az elavult stroke beépülő modul használatával.
8. A fő konfigurációs könyvtár az /etc/strongswan/, amely mindkét beépülő modul konfigurációs fájljait tartalmazza:
ls /etc/strongswan/
Ebben az útmutatóban az IPsec segédprogramot fogjuk használni, amelyet a strongswan paranccsal és a körvonalfelülettel hívunk meg. Tehát a következő konfigurációs fájlokat fogjuk használni:
- /etc/strongswan/ipsec.conf – konfigurációs fájl a strongSwan IPsec alrendszerhez.
- /etc/strongswan/ipsec.secrets – titkos fájl.
3. lépés: Biztonsági átjárók konfigurálása
9. Ebben a lépésben be kell állítania a kapcsolati profilokat az egyes webhelyek biztonsági átjáróin az /etc/strongswan/ipsec.conf strongswan konfigurációs fájl segítségével.
Az 1. hely kapcsolati profiljának konfigurálása
cp /etc/strongswan/ipsec.conf /etc/strongswan/ipsec.conf.orig
vi /etc/strongswan/ipsec.conf
Másolja és illessze be a következő konfigurációt a fájlba.
config setup
charondebug="all"
uniqueids=yes
conn ateway1-to-gateway2
type=tunnel
auto=start
keyexchange=ikev2
authby=secret
left=192.168.56.7
leftsubnet=10.10.1.1/24
right=192.168.56.6
rightsubnet=10.20.1.1/24
ike=aes256-sha1-modp1024!
esp=aes256-sha1!
aggressive=no
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
dpddelay=30s
dpdtimeout=120s
dpdaction=restart
A 2. hely kapcsolati profiljának konfigurálása
cp /etc/strongswan/ipsec.conf /etc/strongswan/ipsec.conf.orig
vi /etc/strongswan/ipsec.conf
Másolja és illessze be a következő konfigurációt a fájlba:
config setup
charondebug="all"
uniqueids=yes
conn 2gateway-to-gateway1
type=tunnel
auto=start
keyexchange=ikev2
authby=secret
left=192.168.56.6
leftsubnet=10.20.1.1/24
right=192.168.56.7
rightsubnet=10.10.1.1/24
ike=aes256-sha1-modp1024!
esp=aes256-sha1!
aggressive=no
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
dpddelay=30s
dpdtimeout=120s
dpdaction=restart
Röviden ismertetjük a fenti konfigurációs paraméterek mindegyikét:
- config setup – meghatározza az IPSec általános konfigurációs adatait, amelyek minden kapcsolatra vonatkoznak.
- charondebug – megadja, hogy mennyi Charon hibakeresési kimenetet kell naplózni.
- egyedi azonosítók – meghatározza, hogy egy adott résztvevőazonosítót egyedinek kell-e tartani.
- conn gateway1-to-gateway2 – a kapcsolat nevének beállítására szolgál.
- type – a kapcsolat típusát határozza meg.
- Automatikus – a kapcsolat kezelésének deklarálása az IPSec indításakor vagy újraindításakor.
- kulcscsere – deklarálja az IKE protokoll használandó verzióját.
- authby – meghatározza, hogy a társaknak hogyan kell hitelesíteniük egymást.
- balra – deklarálja a bal oldali résztvevő nyilvános hálózati interfészének IP-címét.
- baloldali alhálózat – deklarálja a bal oldali résztvevő mögötti privát alhálózatot.
- jobbra – deklarálja a megfelelő résztvevő nyilvános hálózati interfészének IP-címét.
- rightsubnet – deklarálja a bal oldali résztvevő mögötti privát alhálózatot.
- ike – a használandó IKE/ISAKMP SA titkosítási/hitelesítési algoritmusok listájának deklarálására szolgál. Vegye figyelembe, hogy ez lehet vesszővel elválasztott lista.
- esp – a kapcsolathoz használandó ESP titkosítási/hitelesítési algoritmusok listáját adja meg.
- agresszív – meghatározza, hogy az Agresszív vagy a Fő módot használja-e.
- keyingtries – meghatározza, hogy hány kísérletet kell tenni a kapcsolat egyeztetésére.
- ikelifetime – megadja, hogy mennyi ideig tartson egy kapcsolat kulcscsatornája, mielőtt újratárgyalnák.
- élettartam – megadja, hogy mennyi ideig tartson fenn egy kapcsolat egy adott példánya a sikeres egyeztetéstől a lejáratig.
- dpddelay – deklarálja azt az időintervallumot, amellyel az R_U_THERE üzenet/INFORMÁCIÓS csere elküldésre kerül a peernek.
- dpdtimeout – az időtúllépési intervallum deklarálására szolgál, amely után inaktivitás esetén minden kapcsolat törlődik egy partnerrel.
- dpdaction – meghatározza, hogyan kell használni a Dead Peer Detection (DPD) protokollt a kapcsolat kezelésére.
A strongSwan IPsec alrendszer összes konfigurációs paraméterének leírását megtalálja az ipsec.conf kézikönyvoldalon.
man ipsec.conf
4. lépés: A PSK konfigurálása a peer-to-peer hitelesítéshez
10. Ezután létre kell hoznia egy erős PSK-t, amelyet a társak a hitelesítéshez használnak az alábbiak szerint.
head -c 24 /dev/urandom | base64
11. Adja hozzá a PSK-t az /etc/strongswan/ipsec.conf fájlhoz mindkét biztonsági átjárón.
vi /etc/strongswan/ipsec.secrets
Írja be a következő sort a fájlba.
#Site 1 Gateway
192.168.56.7 192.168.56.6 : PSK "0GE0dIEA0IOSYS2o22wYdicj/lN4WoCL"
#Site 1 Gateway
192.168.56.6 192.168.56.7 : PSK "0GE0dIEA0IOSYS2o22wYdicj/lN4WoCL"
12. Ezután indítsa el az strongsan szolgáltatást, és ellenőrizze a kapcsolatok állapotát.
systemctl restart strongswan
strongswan status
13. Tesztelje, hogy egy ping parancs futtatásával hozzáfér-e a privát alhálózatokhoz bármelyik biztonsági átjáróról.
ping 10.20.1.1
ping 10.10.1.1
14. Végül, de nem utolsósorban, további strongswan parancsok megismeréséhez a kapcsolatok manuális fel- és leállításához és még sok máshoz, tekintse meg a strongswan súgóoldalt.
strongswan --help
Ez minden most! Ha meg szeretné osztani velünk gondolatait, vagy kérdéseket szeretne feltenni, lépjen kapcsolatba velünk az alábbi visszajelzési űrlapon keresztül. Ha többet szeretne megtudni az új swanctl segédprogramról és az új rugalmasabb konfigurációs struktúráról, tekintse meg a strongSwan felhasználói dokumentációt.