CentOS/RHEL 8-de Strongswan bilen IPsec esasly VPN-i nädip gurmaly
strongSwan, iki deň-duşlaryň arasynda howpsuzlyk birleşiklerini (SA) döretmek üçin Internet Key Exchange (IKEv1 we IKEv2) üçin doly goldaw berýän Linux üçin açyk çeşme, köp platformaly, häzirki zaman we doly IPsec esasly VPN çözgüdi. Dizaýn boýunça doly aýratynlykly, modully we esasy işleýşini ýokarlandyrýan onlarça plugin hödürleýär.
Degişli makala: Debian we Ubuntu-da Strongswan bilen IPsec esasly VPN-i nädip gurmaly
Bu makalada, CentOS/RHEL 8 serwerlerinde strongSwan ulanyp, saýtdan-sahypa IPsec VPN şlýuzalaryny nädip gurmalydygyny öwrenersiňiz. Bu deň-duşlara güýçli öňünden paýlaşylan açary (PSK) ulanyp, biri-birini tassyklamaga mümkinçilik berýär. Sahypa-sahypa gurmak, her bir howpsuzlyk derwezesiniň aňyrsynda kiçi toruň bardygyny aňladýar.
Gollanmany yzarlaýarkaňyz, konfigurasiýa wagtynda hakyky IP adresleriňizi ulanmagy ýatdan çykarmaň.
Public IP: 192.168.56.7 Private IP: 10.10.1.1/24 Private Subnet: 10.10.1.0/24
Public IP: 192.168.56.6 Private IP: 10.20.1.1/24 Private Subnet: 10.20.1.0/24
1-nji ädim: CentOS 8-de ýadro IP ugradyşyny açmak
1. Iki VPN şlýuzasynda /etc/sysctl.conf konfigurasiýa faýlynda ýadro IP ugrukdyryş funksiýasyny açyp başlaň.
# vi /etc/sysctl.conf
Bu setirleri faýla goşuň.
net.ipv4.ip_forward = 1 net.ipv6.conf.all.forwarding = 1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0
2. Faýldaky üýtgeşmeleri ýazdyranyňyzdan soň, täze ýadro parametrlerini iş wagty ýüklemek üçin aşakdaky buýrugy işlediň.
# sysctl -p
3. Ondan soň, iki howpsuzlyk şlýuzasynda/etc/sysconfig/network-scripts/route-eth0 faýlynda hemişelik statiki ugur dörediň.
# vi /etc/sysconfig/network-scripts/route-eth0
Faýla aşakdaky setiri goşuň.
#Site 1 Gateway 10.20.1.0/24 via 192.168.56.7 #Site 2 Gateway 10.10.1.0/24 via 192.168.56.6
4. Soňra täze üýtgeşmeleri ulanmak üçin tor dolandyryjysyny täzeden açyň.
# systemctl restart NetworkManager
2-nji ädim: CentOS 8-de strongSwan gurmak
5. “strongswan” bukjasy EPEL ammarynda berilýär. Ony gurmak üçin, EPEL ammaryny işletmeli, soňra iki howpsuzlyk derwezesine strongwan gurmaly.
# dnf install epel-release # dnf install strongswan
6. Iki şlýuzada gurlan strongswan wersiýasyny barlamak üçin aşakdaky buýrugy işlediň.
# strongswan version
7. Ondan soň, “strongswan” hyzmatyny başlaň we ulgam ýüklemesinden awtomatiki başlamaga mümkinçilik beriň. Soňra iki howpsuzlyk şlýuzasyndaky ýagdaýy barlaň.
# systemctl start strongswan # systemctl enable strongswan # systemctl status strongswan
Bellik: CentOS/REHL 8-de iň güýçli wersiýanyň ikisi hem swanctl-i goldaýar (vici pluginini ulanyp IKE daemon Charon-y sazlamak, gözegçilikde saklamak we gözegçilikde saklamak üçin strongSwan 5.2.0 bilen girizilen täze, göçme buýruk setiri). we könelen insult pluginini ulanyp, başlangyç (ýa-da ipsec) kömekçi.
8. Esasy konfigurasiýa katalogy/etc/strongswan/bolup, iki plugin üçin konfigurasiýa faýllaryny öz içine alýar:
# ls /etc/strongswan/
Bu gollanma üçin, “strongswan” buýrugyny we insult interfeýsini ulanyp ulanylýan IPsec kömekçi programmasyny ulanarys. Şonuň üçin aşakdaky konfigurasiýa faýllaryny ulanarys:
- /etc/strongswan/ipsec.conf - güýçliSwan IPsec kiçi ulgamy üçin konfigurasiýa faýly.
- /etc/strongswan/ipsec.secrets - syrlar faýly.
3-nji ädim: Howpsuzlyk şlýuzlaryny sazlamak
9. Bu ädimde /etc/strongswan/ipsec.conf strongswan konfigurasiýa faýlyny ulanyp, her bir sahypa üçin her bir howpsuzlyk şlýuzasynda birikdiriş profilini düzmeli.
# cp /etc/strongswan/ipsec.conf /etc/strongswan/ipsec.conf.orig # vi /etc/strongswan/ipsec.conf
Aşakdaky konfigurasiýany faýla göçüriň.
config setup
charondebug="all"
uniqueids=yes
conn ateway1-to-gateway2
type=tunnel
auto=start
keyexchange=ikev2
authby=secret
left=192.168.56.7
leftsubnet=10.10.1.1/24
right=192.168.56.6
rightsubnet=10.20.1.1/24
ike=aes256-sha1-modp1024!
esp=aes256-sha1!
aggressive=no
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
dpddelay=30s
dpdtimeout=120s
dpdaction=restart
# cp /etc/strongswan/ipsec.conf /etc/strongswan/ipsec.conf.orig # vi /etc/strongswan/ipsec.conf
Aşakdaky konfigurasiýany faýla göçüriň:
config setup
charondebug="all"
uniqueids=yes
conn 2gateway-to-gateway1
type=tunnel
auto=start
keyexchange=ikev2
authby=secret
left=192.168.56.6
leftsubnet=10.20.1.1/24
right=192.168.56.7
rightsubnet=10.10.1.1/24
ike=aes256-sha1-modp1024!
esp=aes256-sha1!
aggressive=no
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
dpddelay=30s
dpdtimeout=120s
dpdaction=restart
Aboveokardaky konfigurasiýa parametrleriniň hersini gysgaça suratlandyralyň:
- konfigurasiýa gurnama - ähli baglanyşyklara degişli IPSec üçin umumy konfigurasiýa maglumatyny kesgitleýär.
- charondebug - Charon düzediş çykaryşynyň näçeräk hasaba alynmalydygyny kesgitleýär.
- uniqueids - belli bir gatnaşyjynyň şahsyýetiniň özboluşly saklanmalydygyny kesgitleýär.
- conway gateway1-to-gateway2 - baglanyşyk adyny bellemek üçin ulanylýar.
- görnüşi - baglanyşyk görnüşini kesgitleýär.
- Awto - IPSec işe başlanda ýa-da täzeden açylanda birikmäni nädip dolandyrmalydygyny yglan etmek üçin ulanylýar.
- keyexchange - ulanjak IKE protokolynyň wersiýasyny yglan edýär.
- authby - deň-duşlarynyň biri-birini nädip tassyklamalydygyny kesgitleýär.
- çep - çep gatnaşyjynyň köpçülikleýin set interfeýsiniň IP adresini yglan edýär.
- leftsubnet - çep gatnaşyjynyň arkasyndaky şahsy seti yglan edýär.
- dogry - dogry gatnaşyjynyň köpçülikleýin set interfeýsiniň IP adresini yglan edýär.
- rightsubnet - çep gatnaşyjynyň arkasyndaky şahsy seti yglan edýär.
- ike - ulanyljak IKE/ISAKMP SA şifrlemek/tanamak algoritmleriniň sanawyny yglan etmek üçin ulanylýar. Munuň vergul bilen bölünen sanaw bolup biljekdigine üns beriň.
- esp - birikme üçin ulanyljak ESP şifrlemek/tanamak algoritmleriniň sanawyny kesgitleýär.
- agressiw - Agressiw ýa-da Esasy tertibi ulanmalydygyny yglan edýär.
- açar ýazgylary - baglanyşyk barada gepleşik geçirmek üçin edilmeli synanyşyklaryň sanyny yglan edýär.
- ikelifetime - gepleşik açmazdan ozal birikmäniň açar kanalynyň näçe wagt dowam etmelidigini kesgitleýär.
- ömür - üstünlikli gepleşiklerden başlap, gutarýança baglanyşygyň belli bir mysalynyň näçe wagt dowam etmelidigini kesgitleýär.
- dpddelay - R_U_THERE habarlary/MAGLUMAT alyş-çalyşlarynyň deň-duşlara iberilýän wagt aralygyny yglan edýär.
- dpdtimeout - gutarmak aralygyny yglan etmek üçin ulanylýar, hereketsiz ýagdaýynda deň-duş bilen ähli baglanyşyklar pozulýar.
- dpdaction - baglanyşygy dolandyrmak üçin Öli deňdeşleri kesgitlemek (DPD) protokolyny nädip ulanmalydygyny kesgitleýär.
Ipsec.conf adam sahypasyny okap, güýçliSwan IPsec kiçi ulgamy üçin ähli konfigurasiýa parametrleriniň beýanyny tapyp bilersiňiz.
# man ipsec.conf
4-nji ädim: Deň-deňdeş tanamak üçin PSK-ny sazlamak
10. Ondan soň, deň-duşlary tarapyndan aşakdaky ýaly tassyklamak üçin güýçli PSK döretmeli.
# head -c 24 /dev/urandom | base64
11. Iki howpsuzlyk şlýuzasyndaky /etc/strongswan/ipsec.conf faýlyna PSK goşuň.
# vi /etc/strongswan/ipsec.secrets
Faýla aşakdaky setiri giriziň.
#Site 1 Gateway 192.168.56.7 192.168.56.6 : PSK "0GE0dIEA0IOSYS2o22wYdicj/lN4WoCL" #Site 1 Gateway 192.168.56.6 192.168.56.7 : PSK "0GE0dIEA0IOSYS2o22wYdicj/lN4WoCL"
12. Soňra “strongsan” hyzmatyna başlaň we birikmeleriň ýagdaýyny barlaň.
# systemctl restart strongswan # strongswan status
13. Ping buýrugyny işledip, iki howpsuzlyk derwezesinden şahsy kiçi torlara girip biljekdigiňizi barlaň.
# ping 10.20.1.1 # ping 10.10.1.1
14. Iň soňkusy, iň azyndan, birikmeleri el bilen ýokarlandyrmak/aşaklatmak we has köp buýruklary öwrenmek üçin strongswan kömek sahypasyna serediň.
# strongswan --help
Bularyň hemmesi häzirlikçe! Pikirleriňizi biziň bilen paýlaşmak ýa-da sorag bermek üçin aşakdaky seslenme formasy arkaly bize ýüz tutuň. Täze swanctl peýdasy we täze has çeýe konfigurasiýa gurluşy barada has giňişleýin maglumat üçin güýçliSwan Ulanyjy Resminamalaryna serediň.