Weboldal keresés

IPsec-alapú VPN beállítása Strongswan segítségével a CentOS/RHEL 8 rendszeren


A strongSwan egy nyílt forráskódú, többplatformos, modern és teljes, IPsec-alapú VPN-megoldás Linuxhoz, amely teljes mértékben támogatja az Internet Key Exchange szolgáltatást (IKEv1 és egyaránt). IKEv2) biztonsági társulások (SA) létrehozására két társ között. Teljes funkcionalitású, moduláris felépítésű, és több tucat beépülő modult kínál, amelyek javítják az alapvető funkciókat.

Kapcsolódó cikk: IPsec-alapú VPN beállítása Strongswan segítségével Debianon és Ubuntun

Ebből a cikkből megtudhatja, hogyan állíthat be helyek közötti IPsec VPN-átjárókat az strongSwan használatával CentOS/RHEL 8 szervereken. Ez lehetővé teszi a társak számára, hogy erős előre megosztott kulcs (PSK) segítségével hitelesítsék egymást. A helyek közötti beállítás azt jelenti, hogy minden biztonsági átjáró mögött van egy alhálózat.

Tesztkörnyezet

Ne felejtse el használni valós IP-címeit a konfigurációk során, miközben követi az útmutatót.

1. oldal átjárója
Public IP: 192.168.56.7
Private IP: 10.10.1.1/24
Private Subnet: 10.10.1.0/24
Site 2 Gateway
Public IP:  192.168.56.6
Private IP: 10.20.1.1/24
Private Subnet: 10.20.1.0/24

1. lépés: A kernel IP továbbításának engedélyezése a CentOS 8 rendszerben

1. Kezdje azzal, hogy mindkét VPN-átjárón engedélyezze a kernel IP-továbbítási funkcióját az /etc/sysctl.conf konfigurációs fájlban.

vi /etc/sysctl.conf

Adja hozzá ezeket a sorokat a fájlhoz.

net.ipv4.ip_forward = 1 
net.ipv6.conf.all.forwarding = 1 
net.ipv4.conf.all.accept_redirects = 0 
net.ipv4.conf.all.send_redirects = 0 

2. A fájl módosításainak mentése után futtassa a következő parancsot az új kernelparaméterek futásidejű betöltéséhez.

sysctl -p

3. Ezután mindkét biztonsági átjárón hozzon létre egy állandó statikus útvonalat az /etc/sysconfig/network-scripts/route-eth0 fájlban.

vi /etc/sysconfig/network-scripts/route-eth0

Adja hozzá a következő sort a fájlhoz.

#Site 1 Gateway
10.20.1.0/24  via 192.168.56.7

#Site 2 Gateway
10.10.1.0/24 via 192.168.56.6

4. Ezután indítsa újra a hálózatkezelőt az új módosítások alkalmazásához.

systemctl restart NetworkManager

2. lépés: A strongSwan telepítése a CentOS 8 rendszerben

5. Az strong>strongswan csomag az EPEL tárolóban található. A telepítéshez engedélyeznie kell az EPEL tárolót, majd telepítenie kell a strongwant mindkét biztonsági átjáróra.

dnf install epel-release
dnf install strongswan

6. A mindkét átjáróra telepített strongswan verziójának ellenőrzéséhez futtassa a következő parancsot.

strongswan version

7. Ezután indítsa el a strongswan szolgáltatást, és engedélyezze, hogy automatikusan elinduljon a rendszerindításkor. Ezután ellenőrizze mindkét biztonsági átjáró állapotát.

systemctl start strongswan 
systemctl enable strongswan
systemctl status strongswan

Megjegyzés: A strong>strongswan legújabb verziója a CentOS/REHL 8 rendszerben mindkét swanctl-t támogatja. (a strongSwan 5.2.0-val bevezetett új, hordozható parancssori segédprogram, amely a Charon IKE démon konfigurálására, vezérlésére és figyelésére szolgál a vici beépülő modul segítségével) és indító (vagy ipsec) segédprogramot az elavult stroke beépülő modul használatával.

8. A fő konfigurációs könyvtár az /etc/strongswan/, amely mindkét beépülő modul konfigurációs fájljait tartalmazza:

ls /etc/strongswan/

Ebben az útmutatóban az IPsec segédprogramot fogjuk használni, amelyet a strongswan paranccsal és a körvonalfelülettel hívunk meg. Tehát a következő konfigurációs fájlokat fogjuk használni:

  • /etc/strongswan/ipsec.conf – konfigurációs fájl a strongSwan IPsec alrendszerhez.
  • /etc/strongswan/ipsec.secrets – titkos fájl.

3. lépés: Biztonsági átjárók konfigurálása

9. Ebben a lépésben be kell állítania a kapcsolati profilokat az egyes webhelyek biztonsági átjáróin az /etc/strongswan/ipsec.conf strongswan konfigurációs fájl segítségével.

Az 1. hely kapcsolati profiljának konfigurálása

cp /etc/strongswan/ipsec.conf /etc/strongswan/ipsec.conf.orig
vi /etc/strongswan/ipsec.conf

Másolja és illessze be a következő konfigurációt a fájlba.

config setup
        charondebug="all"
        uniqueids=yes
conn ateway1-to-gateway2
        type=tunnel
        auto=start
        keyexchange=ikev2
        authby=secret
        left=192.168.56.7
        leftsubnet=10.10.1.1/24
        right=192.168.56.6
        rightsubnet=10.20.1.1/24
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!
        aggressive=no
        keyingtries=%forever
        ikelifetime=28800s
        lifetime=3600s
        dpddelay=30s
        dpdtimeout=120s
        dpdaction=restart

A 2. hely kapcsolati profiljának konfigurálása

cp /etc/strongswan/ipsec.conf /etc/strongswan/ipsec.conf.orig
vi /etc/strongswan/ipsec.conf

Másolja és illessze be a következő konfigurációt a fájlba:

config setup
        charondebug="all"
        uniqueids=yes
conn 2gateway-to-gateway1
        type=tunnel
        auto=start
        keyexchange=ikev2
        authby=secret
        left=192.168.56.6
        leftsubnet=10.20.1.1/24
        right=192.168.56.7
        rightsubnet=10.10.1.1/24
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!
        aggressive=no
        keyingtries=%forever
        ikelifetime=28800s
        lifetime=3600s
        dpddelay=30s
        dpdtimeout=120s
        dpdaction=restart

Röviden ismertetjük a fenti konfigurációs paraméterek mindegyikét:

  • config setup – meghatározza az IPSec általános konfigurációs adatait, amelyek minden kapcsolatra vonatkoznak.
  • charondebug – megadja, hogy mennyi Charon hibakeresési kimenetet kell naplózni.
  • egyedi azonosítók – meghatározza, hogy egy adott résztvevőazonosítót egyedinek kell-e tartani.
  • conn gateway1-to-gateway2 – a kapcsolat nevének beállítására szolgál.
  • type – a kapcsolat típusát határozza meg.
  • Automatikus – a kapcsolat kezelésének deklarálása az IPSec indításakor vagy újraindításakor.
  • kulcscsere – deklarálja az IKE protokoll használandó verzióját.
  • authby – meghatározza, hogy a társaknak hogyan kell hitelesíteniük egymást.
  • balra – deklarálja a bal oldali résztvevő nyilvános hálózati interfészének IP-címét.
  • baloldali alhálózat – deklarálja a bal oldali résztvevő mögötti privát alhálózatot.
  • jobbra – deklarálja a megfelelő résztvevő nyilvános hálózati interfészének IP-címét.
  • rightsubnet – deklarálja a bal oldali résztvevő mögötti privát alhálózatot.
  • ike – a használandó IKE/ISAKMP SA titkosítási/hitelesítési algoritmusok listájának deklarálására szolgál. Vegye figyelembe, hogy ez lehet vesszővel elválasztott lista.
  • esp – a kapcsolathoz használandó ESP titkosítási/hitelesítési algoritmusok listáját adja meg.
  • agresszív – meghatározza, hogy az Agresszív vagy a Fő módot használja-e.
  • keyingtries – meghatározza, hogy hány kísérletet kell tenni a kapcsolat egyeztetésére.
  • ikelifetime – megadja, hogy mennyi ideig tartson egy kapcsolat kulcscsatornája, mielőtt újratárgyalnák.
  • élettartam – megadja, hogy mennyi ideig tartson fenn egy kapcsolat egy adott példánya a sikeres egyeztetéstől a lejáratig.
  • dpddelay – deklarálja azt az időintervallumot, amellyel az R_U_THERE üzenet/INFORMÁCIÓS csere elküldésre kerül a peernek.
  • dpdtimeout – az időtúllépési intervallum deklarálására szolgál, amely után inaktivitás esetén minden kapcsolat törlődik egy partnerrel.
  • dpdaction – meghatározza, hogyan kell használni a Dead Peer Detection (DPD) protokollt a kapcsolat kezelésére.

A strongSwan IPsec alrendszer összes konfigurációs paraméterének leírását megtalálja az ipsec.conf kézikönyvoldalon.

man ipsec.conf

4. lépés: A PSK konfigurálása a peer-to-peer hitelesítéshez

10. Ezután létre kell hoznia egy erős PSK-t, amelyet a társak a hitelesítéshez használnak az alábbiak szerint.

head -c 24 /dev/urandom | base64

11. Adja hozzá a PSK-t az /etc/strongswan/ipsec.conf fájlhoz mindkét biztonsági átjárón.

vi /etc/strongswan/ipsec.secrets

Írja be a következő sort a fájlba.

#Site 1 Gateway
192.168.56.7  192.168.56.6 : PSK "0GE0dIEA0IOSYS2o22wYdicj/lN4WoCL"

#Site 1 Gateway
192.168.56.6  192.168.56.7 : PSK "0GE0dIEA0IOSYS2o22wYdicj/lN4WoCL"

12. Ezután indítsa el az strongsan szolgáltatást, és ellenőrizze a kapcsolatok állapotát.

systemctl restart strongswan
strongswan status

13. Tesztelje, hogy egy ping parancs futtatásával hozzáfér-e a privát alhálózatokhoz bármelyik biztonsági átjáróról.

ping 10.20.1.1
ping 10.10.1.1

14. Végül, de nem utolsósorban, további strongswan parancsok megismeréséhez a kapcsolatok manuális fel- és leállításához és még sok máshoz, tekintse meg a strongswan súgóoldalt.

strongswan --help

Ez minden most! Ha meg szeretné osztani velünk gondolatait, vagy kérdéseket szeretne feltenni, lépjen kapcsolatba velünk az alábbi visszajelzési űrlapon keresztül. Ha többet szeretne megtudni az új swanctl segédprogramról és az új rugalmasabb konfigurációs struktúráról, tekintse meg a strongSwan felhasználói dokumentációt.