![Kako promijeniti naziv poslužitelja Apache u bilo što u zaglavljima poslužitelja](/f/287dc6584c8fc659fb058f75900d96df.png?width=100&height=100)
strongSwan je open-source, multi-platforma, moderna i potpuna VPN rješenje temeljeno na IPsec-u za Linux koji pruža potpunu podršku za Razmjena internetskih ključeva (oba IKEv1 i IKEv2) uspostaviti sigurnosna udruženja (SA) između dva kolega. Potpuno je opremljen, modularno dizajniran i nudi desetke dodataka koji poboljšavaju osnovnu funkcionalnost.
Vezani članak: Kako postaviti VPN temeljen na IPsec-u sa Strongswanom na Debian-u i Ubuntu-u
U ovom ćete članku naučiti kako postaviti IPsec VPN pristupnike web-mjesta na-mjesto pomoću jakSvan na CentOS/RHEL 8 poslužiteljima. To omogućuje kolegama da se međusobno autentificiraju pomoću snažnog unaprijed podijeljenog ključa (PSK). Postavljanje web-mjesta znači da svaki sigurnosni pristupnik ima podmrežu iza sebe.
Ne zaboravite koristiti svoje stvarne IP adrese tijekom konfiguracija dok slijedite vodič.
Javni IP: 192.168.56.7. Privatni IP: 10.10.1.1/24. Privatna podmreža: 10.10.1.0/24.
Javni IP: 192.168.56.6. Privatni IP: 10.20.1.1/24. Privatna podmreža: 10.20.1.0/24.
1. Počnite tako da omogućite funkciju prosljeđivanja IP jezgre u /etc/sysctl.conf konfiguracijsku datoteku na oba VPN pristupnika.
# vi /etc/sysctl.conf.
Dodajte ove retke u datoteku.
net.ipv4.ip_forward = 1 net.ipv6.conf.all.forwarding = 1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0
2. Nakon spremanja promjena u datoteci, pokrenite sljedeću naredbu za učitavanje novih parametara jezgre u vrijeme izvođenja.
# sysctl -p.
3. Zatim stvorite trajnu statičku rutu u datoteci /etc/sysconfig/network-scripts/route-eth0 na oba sigurnosna ulaza.
# vi/etc/sysconfig/network-scripts/route-eth0.
Dodajte sljedeći redak u datoteku.
#Vrata web lokacije 1. 10.20.1.0/24 putem 192.168.56.7 #Gateway web -lokacije 2. 10.10.1.0/24 putem 192.168.56.6.
4. Zatim ponovno pokrenite upravitelja mreže da biste primijenili nove promjene.
# systemctl ponovno pokrenite NetworkManager.
5. The strongswan paket se nalazi u EPEL spremište. Da biste ga instalirali, morate omogućiti spremište EPEL, a zatim instalirati strongwan na oba sigurnosna pristupnika.
# dnf instalirajte epel-release. # dnf instalirajte strongswan.
6. Da biste provjerili verziju strongswan instaliran na oba pristupnika, pokrenite sljedeću naredbu.
# strongswan verzija.
7. Zatim pokrenite strongswan uslugu i omogućiti mu automatsko pokretanje pri pokretanju sustava. Zatim provjerite status na oba sigurnosna pristupnika.
# systemctl start strongswan # systemctl omogućiti strongswan. # systemctl status strongswan.
Bilješka: Najnovija verzija strongswan u CentOS/REHL 8 dolazi s podrškom za oboje swanctl (novi, prijenosni uslužni program naredbenog retka predstavljen sa strongSwan 5.2.0, koji se koristi za konfiguriranje, kontrolu i nadzor IKE daemona Charon pomoću vici dodatak) i starter (ili ipsec) uslužni program koji koristi zastarjeli dodatak za poteze.
8. Glavni konfiguracijski direktorij je /etc/strongswan/ koji sadrži konfiguracijske datoteke za oba dodatka:
# ls/etc/strongswan/
U ovom ćemo vodiču koristiti uslužni program IPsec koji se poziva pomoću strongswan naredba i sučelje poteza. Stoga ćemo koristiti sljedeće konfiguracijske datoteke:
9. U ovom koraku morate konfigurirati profile povezivanja na svakom sigurnosnom pristupniku za svako web mjesto pomoću /etc/strongswan/ipsec.conf konfiguracijska datoteka strongswan.
# cp /etc/strongswan/ipsec.conf /etc/strongswan/ipsec.conf.orig. # vi /etc/strongswan/ipsec.conf.
Kopirajte i zalijepite sljedeću konfiguraciju u datoteku.
config setup charondebug = "sve" uniqueids = da. conn ateway1-to-gateway2 type = tunel auto = start keyexchange = ikev2 authby = secret left = 192.168.56.7 leftsubnet = 10.10.1.1/24 right = 192.168.56.6 rightsubnet = 10.20.1.1/24 ike = aes256-sha1-modp1024! esp = aes256-sha1! agresivno = nema pokušaja ključa =%zauvijek ikelifetime = 28800s vijek trajanja = 3600 s dpddelay = 30 s dpdtimeout = 120 s dpdakcija = ponovno pokretanje.
# cp /etc/strongswan/ipsec.conf /etc/strongswan/ipsec.conf.orig. # vi /etc/strongswan/ipsec.conf.
Kopirajte i zalijepite sljedeću konfiguraciju u datoteku:
config setup charondebug = "sve" uniqueids = da. conn 2 gateway-to-gateway1 type = tunel auto = start keyexchange = ikev2 authby = secret left = 192.168.56.6 leftsubnet = 10.20.1.1/24 right = 192.168.56.7 rightsubnet = 10.10.1.1/24 ike = aes256-sha1-modp1024! esp = aes256-sha1! agresivno = nema pokušaja ključa =%zauvijek ikelifetime = 28800s vijek trajanja = 3600 s dpddelay = 30 s dpdtimeout = 120 s dpdakcija = ponovno pokretanje.
Ukratko opišimo svaki od gornjih konfiguracijskih parametara:
Opis svih konfiguracijskih parametara za podsustav strongSwan IPsec možete pronaći čitanjem datoteke ipsec.conf man stranica.
# man ipsec.conf.
10. Zatim morate generirati snažan PSK koji će koristiti kolege za provjeru autentičnosti na sljedeći način.
# head -c 24 /dev /urandom | base64.
11. Dodajte PSK u /etc/strongswan/ipsec.conf datoteku na oba sigurnosna pristupnika.
# vi /etc/strongswan/ipsec.secrets.
Unesite sljedeći redak u datoteku.
#Vrata web lokacije 1. 192.168.56.7 192.168.56.6: PSK "0GE0dIEA0IOSYS2o22wYdicj/lN4WoCL" #Pristupnik 1. stranice. 192.168.56.6 192.168.56.7: PSK "0GE0dIEA0IOSYS2o22wYdicj/lN4WoCL"
12. Zatim pokrenite strongsan servis i provjerite status veza.
# systemctl ponovno pokrenite strongswan. # strongswan status.
13. Testirajte možete li pristupiti privatnim podmrežama s bilo kojeg sigurnosnog pristupnika pokretanjem a naredba ping.
# ping 10.20.1.1. # ping 10.10.1.1.
14. Na kraju, ali ne i najmanje važno, naučiti više strongswan naredbe za ručno otvaranje/spuštanje veza i više, pogledajte stranicu za pomoć strongswan.
# strongswan --pomoć.
To je sve za sada! Da biste s nama podijelili svoja razmišljanja ili postavili pitanja, kontaktirajte nas putem donjeg obrasca za povratne informacije. A da biste saznali više o novom uslužnom programu swanctl i novoj fleksibilnijoj konfiguracijskoj strukturi, pogledajte Korisnička dokumentacija strongSwan.