strongSwan é uma plataforma de código aberto, moderna e completa Solução VPN baseada em IPsec para Linux que fornece suporte completo para Internet Key Exchange (Ambas IKEv1 e IKEv2) para estabelecer associações de segurança (SA) entre dois pares. É completo, modular por design e oferece dezenas de plug-ins que aprimoram a funcionalidade principal.
Artigo Relacionado: Como configurar VPN baseada em IPsec com Strongswan no Debian e Ubuntu
Neste artigo, você aprenderá a configurar gateways VPN IPsec site a site usando StrongSwan em CentOS / RHEL 8 servidores. Isso permite que os pares se autentiquem uns aos outros usando uma chave pré-compartilhada forte (PSK). Uma configuração site a site significa que cada gateway de segurança possui uma sub-rede por trás dele.
Não se esqueça de usar seus endereços IP do mundo real durante as configurações ao seguir o guia.
IP público: 192.168.56.7. IP privado: 10.10.1.1/24. Sub-rede privada: 10.10.1.0/24.
IP público: 192.168.56.6. IP privado: 10.20.1.1/24. Sub-rede privada: 10.20.1.0/24.
1. Comece habilitando a funcionalidade de encaminhamento de IP do kernel em /etc/sysctl.conf arquivo de configuração em ambos os gateways VPN.
# vi /etc/sysctl.conf.
Adicione essas linhas no arquivo.
net.ipv4.ip_forward = 1 net.ipv6.conf.all.forwarding = 1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0
2. Depois de salvar as alterações no arquivo, execute o seguinte comando para carregar os novos parâmetros do kernel em tempo de execução.
# sysctl -p.
3. Em seguida, crie uma rota estática permanente no arquivo /etc/sysconfig/network-scripts/route-eth0 em ambos os gateways de segurança.
# vi / etc / sysconfig / network-scripts / route-eth0.
Adicione a seguinte linha no arquivo.
#Site 1 Gateway. 10.20.1.0/24 via 192.168.56.7 #Site 2 Gateway. 10.10.1.0/24 via 192.168.56.6.
4. Em seguida, reinicie o gerenciador de rede para aplicar as novas alterações.
# systemctl reinicie o NetworkManager.
5. O cisne-forte pacote é fornecido no EPEL repositório. Para instalá-lo, você precisa habilitar o repositório EPEL e, em seguida, instalar o strongwan em ambos os gateways de segurança.
# dnf instalar epel-release. # dnf install strongswan.
6. Para verificar a versão do cisne-forte instalado em ambos os gateways, execute o seguinte comando.
# versão do cisne forte.
7. Em seguida, comece o cisne-forte serviço e habilite-o para iniciar automaticamente na inicialização do sistema. Em seguida, verifique o status em ambos os gateways de segurança.
# systemctl start strongswan # systemctl enable strongswan. # systemctl status strongswan.
Observação: A última versão de cisne-forte em CentOS / REHL 8 vem com suporte para ambos Swanctl (um novo utilitário de linha de comando portátil introduzido com strongSwan 5.2.0, usado para configurar, controlar e monitorar o daemon IKE Charon usando o vici plugin) e iniciante (ou ipsec) usando o plugin de curso obsoleto.
8. O diretório de configuração principal é /etc/strongswan/ que contém arquivos de configuração para ambos os plug-ins:
# ls / etc / strongswan /
Para este guia, usaremos o utilitário IPsec, que é invocado usando o cisne-forte comando e a interface do curso. Portanto, usaremos os seguintes arquivos de configuração:
9. Nesta etapa, você precisa configurar os perfis de conexão em cada gateway de segurança para cada site usando o /etc/strongswan/ipsec.conf arquivo de configuração do strongswan.
# cp /etc/strongswan/ipsec.conf /etc/strongswan/ipsec.conf.orig. # vi /etc/strongswan/ipsec.conf.
Copie e cole a seguinte configuração no arquivo.
configuração charondebug = "all" uniqueids = yes. conn ateway1-to-gateway2 type = túnel auto = start keyexchange = ikev2 authby = secret left = 192.168.56.7 leftsubnet = 10.10.1.1 / 24 right = 192.168.56.6 rightsubnet = 10.20.1.1 / 24 ike = aes256-sha1-modp1024! esp = aes256-sha1! agressivo = sem keyingtries =% para sempre ikelifetime = 28800s tempo de vida = 3600s dpddelay = 30s dpdtimeout = 120s dpdaction = reiniciar.
# cp /etc/strongswan/ipsec.conf /etc/strongswan/ipsec.conf.orig. # vi /etc/strongswan/ipsec.conf.
Copie e cole a seguinte configuração no arquivo:
configuração charondebug = "all" uniqueids = yes. conn 2gateway-to-gateway1 type = túnel auto = start keyexchange = ikev2 authby = secret left = 192.168.56.6 leftsubnet = 10.20.1.1 / 24 right = 192.168.56.7 rightsubnet = 10.10.1.1 / 24 ike = aes256-sha1-modp1024! esp = aes256-sha1! agressivo = sem keyingtries =% para sempre ikelifetime = 28800s tempo de vida = 3600s dpddelay = 30s dpdtimeout = 120s dpdaction = reiniciar.
Vamos descrever brevemente cada um dos parâmetros de configuração acima:
Você pode encontrar uma descrição de todos os parâmetros de configuração para o subsistema strongSwan IPsec lendo o ipsec.conf página do manual.
# man ipsec.conf.
10. Em seguida, você precisa gerar um PSK forte a ser usado pelos pares para autenticação da seguinte maneira.
# head -c 24 / dev / urandom | base64.
11. Adicione o PSK no /etc/strongswan/ipsec.conf arquivo em ambos os gateways de segurança.
# vi /etc/strongswan/ipsec.secrets.
Insira a seguinte linha no arquivo.
#Site 1 Gateway. 192.168.56.7 192.168.56.6: PSK "0GE0dIEA0IOSYS2o22wYdicj / lN4WoCL" #Site 1 Gateway. 192.168.56.6 192.168.56.7: PSK "0GE0dIEA0IOSYS2o22wYdicj / lN4WoCL"
12. Então comece o Strongsan serviço e verificar o status das conexões.
# systemctl restart strongswan. # status de cisne forte.
13. Teste se você pode acessar as sub-redes privadas de qualquer um dos gateways de segurança executando um comando ping.
# ping 10.20.1.1. # ping 10.10.1.1.
14. Por último, mas não menos importante, para aprender mais cisne-forte comandos para ativar / desativar conexões manualmente e muito mais, consulte a página de ajuda do strongswan.
# strongswan --help.
É tudo por agora! Para compartilhar suas idéias conosco ou fazer perguntas, entre em contato conosco por meio do formulário de feedback abaixo. E para saber mais sobre o novo utilitário swanctl e a nova estrutura de configuração mais flexível, consulte o Documentação do usuário strongSwan.