GNU/Linux >> Linux Esercitazione >  >> Cent OS

Come configurare una VPN basata su IPsec con Strongswan su CentOS/RHEL 8

strongSwan è una soluzione VPN open source, multipiattaforma, moderna e completa basata su IPsec per Linux che fornisce supporto completo per Internet Key Exchange (entrambi IKEv1 e IKEv2 ) per stabilire associazioni di sicurezza (SA) tra due peer. È completo, modulare per design e offre dozzine di plug-in che migliorano le funzionalità principali.

Articolo correlato :Come configurare una VPN basata su IPsec con Strongswan su Debian e Ubuntu

In questo articolo imparerai come configurare gateway VPN IPsec da sito a sito utilizzando strongSwan su CentOS/RHEL 8 server. Ciò consente ai peer di autenticarsi reciprocamente utilizzando una chiave pre-condivisa forte (PSK ). Una configurazione da sito a sito significa che ogni gateway di sicurezza ha una sottorete dietro di esso.

Ambiente di test

Non dimenticare di utilizzare i tuoi indirizzi IP reali durante le configurazioni mentre segui la guida.

Gateway Sito 1
Public IP: 192.168.56.7
Private IP: 10.10.1.1/24
Private Subnet: 10.10.1.0/24
Gateway sito 2
Public IP:  192.168.56.6
Private IP: 10.20.1.1/24
Private Subnet: 10.20.1.0/24

Passaggio 1:abilitazione dell'inoltro IP del kernel in CentOS 8

1. Inizia abilitando la funzionalità di inoltro IP del kernel in /etc/sysctl.conf file di configurazione su entrambi i gateway VPN.

# vi /etc/sysctl.conf

Aggiungi queste righe nel file.

net.ipv4.ip_forward = 1 
net.ipv6.conf.all.forwarding = 1 
net.ipv4.conf.all.accept_redirects = 0 
net.ipv4.conf.all.send_redirects = 0

2. Dopo aver salvato le modifiche nel file, eseguire il comando seguente per caricare i nuovi parametri del kernel in runtime.

# sysctl -p

3. Quindi, crea un percorso statico permanente nel file /etc/sysconfig/network-scripts/route-eth0 su entrambi i gateway di sicurezza.

# vi /etc/sysconfig/network-scripts/route-eth0

Aggiungi la seguente riga nel file.

#Site 1 Gateway
10.20.1.0/24  via 192.168.56.7

#Site 2 Gateway
10.10.1.0/24 via 192.168.56.6

4. Quindi riavvia il gestore di rete per applicare le nuove modifiche.

# systemctl restart NetworkManager

Passaggio 2:installazione di strongSwan in CentOS 8

5. Il cigno forte il pacchetto è fornito in EPEL deposito. Per installarlo, devi abilitare il repository EPEL, quindi installare strongwan su entrambi i gateway di sicurezza.

# dnf install epel-release
# dnf install strongswan

6. Per controllare la versione di strongswan installato su entrambi i gateway, eseguire il comando seguente.

# strongswan version

7. Quindi, avvia il cigno forte servizio e abilitarlo per l'avvio automatico all'avvio del sistema. Quindi verifica lo stato su entrambi i gateway di sicurezza.

# systemctl start strongswan 
# systemctl enable strongswan
# systemctl status strongswan

Nota :l'ultima versione di strongswan in CentOS/REHL 8 viene fornito con il supporto per entrambi swanctl (una nuova utility da riga di comando portatile introdotta con strongSwan 5.2.0, usata per configurare, controllare e monitorare il demone IKE Charon usando vici plug-in) e starter (o ipsec ) utilità che utilizza il plug-in ictus deprecato.

8. La directory di configurazione principale è /etc/strongswan/ che contiene i file di configurazione per entrambi i plugin:

# ls /etc/strongswan/

Struttura di configurazione di Strongswan

Per questa guida, utilizzeremo l'utilità IPsec che viene invocata utilizzando strongswan comando e l'interfaccia del tratto. Quindi utilizzeremo i seguenti file di configurazione:

  • /etc/strongswan/ipsec.conf – file di configurazione per il sottosistema IPsec di strongSwan.
  • /etc/strongswan/ipsec.secrets – file segreti.

Fase 3:configurazione dei gateway di sicurezza

9. In questo passaggio, devi configurare i profili di connessione su ciascun gateway di sicurezza per ogni sito utilizzando /etc/strongswan/ipsec.conf file di configurazione di strongswan.

Configurazione del profilo di connessione del sito 1

# cp /etc/strongswan/ipsec.conf /etc/strongswan/ipsec.conf.orig
# vi /etc/strongswan/ipsec.conf

Copia e incolla la seguente configurazione nel file.

config setup
        charondebug="all"
        uniqueids=yes
conn ateway1-to-gateway2
        type=tunnel
        auto=start
        keyexchange=ikev2
        authby=secret
        left=192.168.56.7
        leftsubnet=10.10.1.1/24
        right=192.168.56.6
        rightsubnet=10.20.1.1/24
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!
        aggressive=no
        keyingtries=%forever
        ikelifetime=28800s
        lifetime=3600s
        dpddelay=30s
        dpdtimeout=120s
        dpdaction=restart

Configurazione del profilo di connessione del sito 2

# cp /etc/strongswan/ipsec.conf /etc/strongswan/ipsec.conf.orig
# vi /etc/strongswan/ipsec.conf

Copia e incolla la seguente configurazione nel file:

config setup
        charondebug="all"
        uniqueids=yes
conn 2gateway-to-gateway1
        type=tunnel
        auto=start
        keyexchange=ikev2
        authby=secret
        left=192.168.56.6
        leftsubnet=10.20.1.1/24
        right=192.168.56.7
        rightsubnet=10.10.1.1/24
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!
        aggressive=no
        keyingtries=%forever
        ikelifetime=28800s
        lifetime=3600s
        dpddelay=30s
        dpdtimeout=120s
        dpdaction=restart

Descriviamo brevemente ciascuno dei parametri di configurazione sopra:

  • configurazione di configurazione – definisce le informazioni di configurazione generali per IPSec che si applicano a tutte le connessioni.
  • charondebug – specifica la quantità di output di debug di Caronte da registrare.
  • Uniquei – definisce se un particolare ID partecipante deve essere mantenuto univoco.
  • conn gateway1-to-gateway2 – utilizzato per impostare il nome della connessione.
  • digitare – definisce il tipo di connessione.
  • Automatico – utilizzato per dichiarare come gestire la connessione all'avvio o al riavvio di IPSec.
  • scambio di chiavi – dichiara la versione del protocollo IKE da utilizzare.
  • autorizzato – specifica come i peer devono autenticarsi a vicenda.
  • sinistra – dichiara l'indirizzo IP dell'interfaccia di rete pubblica del partecipante sinistro.
  • sottorete sinistra – dichiara la sottorete privata dietro il partecipante sinistro.
  • destra – dichiara l'indirizzo IP dell'interfaccia di rete pubblica del partecipante corretto.
  • rightsubnet – dichiara la sottorete privata dietro il partecipante sinistro.
  • mi piace – utilizzato per dichiarare un elenco di algoritmi di crittografia/autenticazione IKE/ISAKMP SA da utilizzare. Nota che questo può essere un elenco separato da virgole.
  • specialmente – specifica un elenco di algoritmi di crittografia/autenticazione ESP da utilizzare per la connessione.
  • aggressivo – dichiara se utilizzare la Modalità Aggressiva o Principale.
  • tentativi di digitazione – dichiara il numero di tentativi da effettuare per negoziare una connessione.
  • ikelifetime – specifica quanto tempo deve durare il canale di codifica di una connessione prima di essere rinegoziato.
  • a vita – specifica la durata di una particolare istanza di una connessione, dalla negoziazione riuscita alla scadenza.
  • dpddelay – dichiara l'intervallo di tempo con cui R_U_THERE messaggi/scambi INFORMAZIONALI vengono inviati al peer.
  • dpdtimeout – utilizzato per dichiarare l'intervallo di timeout, dopo il quale tutte le connessioni a un peer vengono eliminate in caso di inattività.
  • dpdazione – specifica come utilizzare il protocollo Dead Peer Detection (DPD) per gestire la connessione.

Puoi trovare una descrizione di tutti i parametri di configurazione per il sottosistema IPsec di strongSwan leggendo ipsec.conf pagina man.

# man ipsec.conf

Fase 4:configurazione di PSK per l'autenticazione peer-to-peer

10. Successivamente, devi generare un PSK potente da utilizzare dai peer per l'autenticazione come segue.

# head -c 24 /dev/urandom | base64

Genera chiave PSK

11. Aggiungi il PSK in /etc/strongswan/ipsec.conf file su entrambi i gateway di sicurezza.

# vi /etc/strongswan/ipsec.secrets

Immettere la seguente riga nel file.

#Site 1 Gateway
192.168.56.7  192.168.56.6 : PSK "0GE0dIEA0IOSYS2o22wYdicj/lN4WoCL"

#Site 1 Gateway
192.168.56.6  192.168.56.7 : PSK "0GE0dIEA0IOSYS2o22wYdicj/lN4WoCL"

12. Quindi avvia il strongsan servizio e verifica lo stato delle connessioni.

# systemctl restart strongswan
# strongswan status

Controlla le connessioni di Strongswan

13. Verifica se puoi accedere alle sottoreti private da entrambi i gateway di sicurezza eseguendo un comando ping.

# ping 10.20.1.1
# ping 10.10.1.1

Eseguire il ping dei gateway di sicurezza

14. Ultimo ma non meno importante, per saperne di più strongswan comandi per attivare/disattivare manualmente le connessioni e altro, vedere la pagina di aiuto di strongswan.

# strongswan --help

È tutto per ora! Per condividere i tuoi pensieri con noi o porre domande, contattaci tramite il modulo di feedback qui sotto. E per saperne di più sulla nuova utility swanctl e sulla nuova struttura di configurazione più flessibile, consulta la documentazione per l'utente di strongSwan.

Condividere è prendersi cura...
Condividi su FacebookCondividi su TwitterCondividi su LinkedinCondividi su Reddit
Cent OS

  1. Come configurare Wireguard VPN su CentOS 8

  2. Come impostare o modificare il nome host in CentOS 7 / RHEL 7

  3. Come installare phpMyAdmin con Nginx su CentOS 7 / RHEL 7

  4. Come configurare un server di posta con PostfixAdmin su CentOS 7

  5. Come configurare WireGuard VPN su CentOS 8

Come impostare/modificare il nome host in CentOS 8 / RHEL 8

Come installare WordPress con Nginx su CentOS 8 / RHEL 8

Come configurare un server VPN IKEv2 con StrongSwan su Ubuntu 22.04

Come proteggere il server di posta elettronica dall'hacking con VPN (CentOS/RHEL)

Come configurare una VPN basata su IPsec con Strongswan su Debian e Ubuntu

Come configurare SSH su CentOS e RHEL