Cara mengatur VPN berbasis IPSEC dengan Strongswan di Centos/RHEL 8

Strongswan adalah solusi VPN IPSEC open-source, multi-platform, modern dan lengkap untuk Linux yang memberikan dukungan penuh untuk Pertukaran Kunci Internet (keduanya Ikev1 Dan Ikev2) untuk membangun asosiasi keamanan (SA) antara dua rekan. Ini adalah fitur penuh, modular berdasarkan desain dan menawarkan lusinan plugin yang meningkatkan fungsionalitas inti.

Artikel terkait: Cara mengatur VPN berbasis IPSEC dengan Strongswan di Debian dan Ubuntu

Di artikel ini, Anda akan belajar cara mengatur gateway IPSEC VPN dari situs-ke-situs menggunakan kuat pada Centos/rhel 8 server. Ini memungkinkan rekan untuk mengotentikasi satu sama lain menggunakan kunci pra-dibagikan yang kuat (Psk). Pengaturan situs-ke-situs berarti setiap gateway keamanan memiliki sub-net di belakangnya.

Lingkungan pengujian

Jangan lupa menggunakan alamat IP dunia nyata Anda selama konfigurasi saat mengikuti panduan.

Situs 1 Gateway

IP Publik: 192.168.56.7 Private IP: 10.10.1.1/24 Subnet Pribadi: 10.10.1.0/24 

Situs 2 Gateway

IP Publik: 192.168.56.6 Private IP: 10.20.1.1/24 Subnet Pribadi: 10.20.1.0/24 

Langkah 1: Mengaktifkan Kernel IP Forwarding di Centos 8

1. Mulailah dengan mengaktifkan fungsionalitas penerusan ip kernel di /etc/sysctl.conf file konfigurasi di kedua gateway VPN.

# vi /etc /sysctl.conf 

Tambahkan baris ini di file.

bersih.IPv4.ip_forward = 1 net.IPv6.conf.semua.penerusan = 1 net.IPv4.conf.semua.accept_redirects = 0 net.IPv4.conf.semua.send_redirects = 0 

2. Setelah menyimpan perubahan dalam file, jalankan perintah berikut untuk memuat parameter kernel baru di runtime.

# sysctl -p 

3. Selanjutnya, buat rute statis permanen dalam file /etc/sysconfig/network-scripts/route-eth0 di kedua gateway keamanan.

# vi/etc/sysconfig/network-scripts/route-eth0 

Tambahkan baris berikut di file.

#Site 1 Gateway 10.20.1.0/24 via 192.168.56.7 #site 2 Gateway 10.10.1.0/24 via 192.168.56.6 

4. Kemudian restart manajer jaringan untuk menerapkan perubahan baru.

# Systemctl Restart NetworkManager 

Langkah 2: Memasang Strongswan di Centos 8

5. Itu kuat Paket disediakan di Epel gudang. Untuk menginstalnya, Anda perlu mengaktifkan repositori EPEL, lalu memasang Strongwan di kedua gateway keamanan.

# DNF Instal Epel-Release # DNF Instal Strongswan 

6. Untuk memeriksa versi kuat diinstal di kedua gateway, jalankan perintah berikut.

# Versi Strongswan 

7. Selanjutnya, mulailah kuat layanan dan aktifkan untuk secara otomatis mulai dari boot sistem. Kemudian verifikasi status di kedua gateway keamanan.

# Systemctl Mulai StrongSwan # Systemctl Aktifkan StrongSwan # Systemctl Status Strongswan 

Catatan: Versi terbaru dari kuat di dalam Centos/rehl 8 dilengkapi dengan dukungan untuk keduanya Swanctl (Utilitas baris perintah portabel baru yang diperkenalkan dengan Strongswan 5.2.0, digunakan untuk mengonfigurasi, mengontrol dan memantau Ike Daemon Charon menggunakan Vici plugin) dan starter (atau Ipsec) Utilitas menggunakan plugin stroke yang sudah usang.

8. Direktori konfigurasi utama adalah /etc/strongswan/ Yang berisi file konfigurasi untuk kedua plugin:

# ls/etc/strongswan/ 

Untuk panduan ini, kami akan menggunakan utilitas iPsec yang dipanggil menggunakan kuat perintah dan antarmuka stroke. Jadi kami akan menggunakan file konfigurasi berikut:

• /etc/strongswan/ipsec.conf - file konfigurasi untuk subsistem IPSec StrongSwan.
• /etc/strongswan/ipsec.rahasia - file rahasia.

Langkah 3: Mengkonfigurasi Gateway Keamanan

9. Pada langkah ini, Anda perlu mengonfigurasi profil koneksi pada setiap gateway keamanan untuk setiap situs menggunakan /etc/strongswan/ipsec.conf File Konfigurasi StrongSwan.

Mengkonfigurasi Situs 1 Profil Koneksi

# cp/etc/strongswan/ipsec.conf/etc/strongswan/ipsec.conf.Orig # vi/etc/strongswan/ipsec.conf 

Salin dan tempel konfigurasi berikut dalam file.

Konfigurasi Pengaturan Charondebug = "Semua" UnionIDS = Ya Conn Ateway1-to-Gateway2 Type = Tunnel Auto = Mulai KeyExchange = IKEV2 Authby = Secret Left = 192.168.56.7 leftsubnet = 10.10.1.1/24 benar = 192.168.56.6 Rightsubnet = 10.20.1.1/24 IKE = AES256-SHA1-MODP1024! ESP = AES256-SHA1! agresif = tidak ada kunci =%selamanya ikelifetime = 28800S seumur hidup = 3600S dpddelay = 30S dpdtimeout = 120S dpdaction = restart 

Mengkonfigurasi Situs 2 Profil Koneksi

# cp/etc/strongswan/ipsec.conf/etc/strongswan/ipsec.conf.Orig # vi/etc/strongswan/ipsec.conf 

Salin dan tempel konfigurasi berikut dalam file:

Konfigurasi Pengaturan Charondebug = "Semua" UniqueIds = Ya Conn 2Gateway-to-Gateway1 Type = Tunnel Auto = Mulai KeyExchange = IKEV2 Authby = Secret Left = 192.168.56.6 leftsubnet = 10.20.1.1/24 benar = 192.168.56.7 Rightsubnet = 10.10.1.1/24 IKE = AES256-SHA1-MODP1024! ESP = AES256-SHA1! agresif = tidak ada kunci =%selamanya ikelifetime = 28800S seumur hidup = 3600S dpddelay = 30S dpdtimeout = 120S dpdaction = restart 

Mari kita jelaskan secara singkat setiap parameter konfigurasi di atas:

• Pengaturan Konfigurasi - Menentukan informasi konfigurasi umum untuk IPSEC yang berlaku untuk semua koneksi.
• Charondebug - Menentukan berapa banyak output debugging Charon yang harus dicatat.
• Unik - mendefinisikan apakah ID peserta tertentu harus tetap unik.
• Conn Gateway1-to-Gateway2 - digunakan untuk mengatur nama koneksi.
• jenis - mendefinisikan jenis koneksi.
• Mobil - Digunakan untuk menyatakan cara menangani koneksi saat IPSEC dimulai atau dihidupkan ulang.
• KeyExchange - menyatakan versi protokol IKE untuk digunakan.
• AUTHBY - Menentukan bagaimana teman sebaya harus mengotentikasi satu sama lain.
• kiri - menyatakan alamat IP antarmuka jaringan publik Peserta Kiri.
• LeftSubnet - menyatakan subnet pribadi di belakang peserta kiri.
• Kanan - menyatakan alamat IP antarmuka jaringan publik peserta yang tepat.
• Hak Hak - menyatakan subnet pribadi di belakang peserta kiri.
• Ike - Digunakan untuk mendeklarasikan daftar algoritma enkripsi/otentikasi IKE/Isakmp SA. Perhatikan bahwa ini bisa menjadi daftar yang dipisahkan koma.
• esp - Menentukan daftar algoritma enkripsi/otentikasi ESP untuk digunakan untuk koneksi.
• agresif - menyatakan apakah akan menggunakan mode agresif atau utama.
• Keyingtries - menyatakan jumlah upaya yang harus dilakukan untuk menegosiasikan koneksi.
• Ikelifetime - Menentukan berapa lama saluran kunci koneksi harus bertahan sebelum dinegosiasikan ulang.
• seumur hidup - Menentukan berapa lama contoh koneksi tertentu harus bertahan, dari negosiasi yang berhasil hingga kedaluwarsa.
• dpddelay - menyatakan interval waktu dengan mana r_u_there pesan/pertukaran informasi dikirim ke rekan.
• dpdtimeout - Digunakan untuk mendeklarasikan interval batas waktu, setelah itu semua koneksi ke rekan dihapus jika tidak aktif.
• dpdaction - Menentukan cara menggunakan protokol deteksi rekan mati (DPD) untuk mengelola koneksi.

Anda dapat menemukan deskripsi semua parameter konfigurasi untuk subsistem IPSEC StrongSwan dengan membaca Ipsec.conf Halaman Manusia.

# man ipsec.conf 

Langkah 4: Mengkonfigurasi PSK untuk otentikasi peer-to-peer

10. Selanjutnya, Anda perlu menghasilkan PSK yang kuat untuk digunakan oleh rekan -rekan untuk otentikasi sebagai berikut.

# head -c 24 /dev /urandom | base64 

11. Tambahkan PSK di /etc/strongswan/ipsec.conf file di kedua gateway keamanan.

# vi/etc/strongswan/ipsec.rahasia 

Masukkan baris berikut di file.

#Site 1 gateway 192.168.56.7 192.168.56.6: PSK "0GE0DIEA0IOSYS2O22WYDICJ/LN4WOCL" #Site 1 Gateway 192.168.56.6 192.168.56.7: PSK "0GE0DIEA0IOSYS2O22WYDICJ/LN4WOCL" 

12. Lalu mulai Strongsan Layanan dan periksa status koneksi.

# Systemctl Restart Strongswan # Status Strongswan 

13. Tes Jika Anda dapat mengakses sub-net pribadi dari kedua gateway keamanan dengan menjalankan perintah ping.

# ping 10.20.1.1 # ping 10.10.1.1 

14. Terakhir, untuk belajar lebih banyak kuat Perintah untuk secara manual membawa/turun koneksi dan banyak lagi, lihat halaman bantuan StrongSwan.

# Strongswan --help 

Itu saja untuk saat ini! Untuk membagikan pemikiran Anda kepada kami atau mengajukan pertanyaan, hubungi kami melalui formulir umpan balik di bawah ini. Dan untuk mempelajari lebih lanjut tentang utilitas Swanctl yang baru dan struktur konfigurasi yang lebih fleksibel yang baru, lihat dokumentasi pengguna Strongswan.