🖧 نحوه پیکربندی VPN مبتنی بر IPsec با استفاده از Strongswan در دبیان و اوبونتو – Squad Security Security Squad

ازvpn

strongSwan یک VPN منبع باز ، کراس پلتفرم ، کاملاً برجسته و بسیار گسترده است که از طریق VPN (شبکه مجازی خصوصی) استفاده می شود که روی Linux ، FreeBSD ، OS X ، Windows ، Android و iOS اجرا شده است.

پروتکل های تبادل کلید اینترنتی (IKEv1 و IKEv2) برای ایجاد انجمن های امنیتی (SA) بین دو گره را پشتیبانی می کند.

این مقاله نحوه پیکربندی دروازه های IPSec VPN با استفاده از strongSwan در سرورهای اوبونتو و دبیان را شرح می دهد.

منظور ما این است که هر دروازه بی خطر است یک زیر شبکه وجود دارد.

علاوه بر این ، همسالان با استفاده از یک کلید مشترک موقت (PSK) یکدیگر را تأیید می کنند.

محیط آزمایش

به یاد داشته باشید که آدرس های IP زیر را با آدرس های IP واقعی جایگزین کنید تا محیط را پیکربندی کنید. [19659008] دروازه سایت 1 (itecforu-devgateway) 

 سیستم عامل 1: دبیان یا اوبونتو
IP عمومی: 10.20.20.1
IP خصوصی: 192.168.0.101/24
زیر شبکه خصوصی: 192.168.0.0/24 platform19659010.06.2012 سایت دروازه 2 (itecforu-prodgateway)  


 OS 2: Debian یا Ubuntu
IP عمومی: 10.20.20.3
IP خصوصی: 10.0.2.15/24
زیر شبکه خصوصی: 10.0.2.0/24 ستاره19659012.06.2012 مرحله 1. فعال کردن ارسال بسته 

 1. ابتدا باید هسته را پیکربندی کنید تا با اضافه کردن متغیرهای سیستم مناسب به پرونده پیکربندی /etc/sysctl.conf در هر دو دروازه امنیتی ، هسته را پیکربندی کنید. 


 $ sudo vim /etc/sysctl.confociation19659015† خطوط زیر را پیدا کنید. آنها را فراموش نکنید و مقادیر آنها را مانند شکل زیر تنظیم کنید (برای اطلاعات بیشتر نظرات را در پرونده بخوانید). 


 net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0 




 2. سپس با اجرای دستور زیر تنظیمات جدید را اعمال کنید: 




 $ sudo sysctl -p 


 3. اگر UFW را فعال کرده اید ، باید قوانین زیر را به پرونده پیکربندی  /etc/ufw/before.rules  بلافاصله قبل از تصویب فیلتر در هر یک از دروازه های امنیتی اضافه کنید. 


 Site 1 gateway (itsecforu-devgateway) 


 * نات
: ورود به روش [0:0]
POSTROUTING -s 10.0.2.0/24 -d 192.168.0.0/24 -j MASQUERADE
تعهد 


  محوطه دروازه 2 (راهپیمایی-تولیدی)  


 * nat
: ورود به روش [0:0]
POSTROUTING -s 192.168.0.0/24 -d 10.0.2.0/24 -j MASQUERADE
کمیته 




 4. پس از افزودن قوانین فایروال ، با راه اندازی مجدد UFW ، تغییرات جدید را اعمال کنید ، مانند تصویر زیر: 




 $ sudo ufw غیرفعال کنید
$ sudo ufw را فعال کنید 


 مرحله 2: strongSwan را روی دبیان و اوبونتو نصب کنید 


 5. حافظه نهان بسته را در هر دو دروازه امنیتی به روز کنید و با استفاده از مدیر بسته APT ، بسته پاورپوینت را نصب کنید. 


 $ sudo apt آپدیت
$ sudo apt install strongswan 




 6. پس از اتمام نصب ، اسکریپت نصب کننده سرویس رابط کاربری راه اندازی می کند و با شروع سیستم به طور خودکار آن را شروع می کند. 


 شما می توانید وضعیت آن را بررسی کنید و ببینید با استفاده از دستور زیر امکان پذیر است. 






 $ sudo systemctl status strongswan.service
$ sudo systemctl strongswan.service را فعال کنید 


 مرحله 3: پیکربندی های امنیتی 


 7 را پیکربندی کنید. در مرحله بعد ، شما باید با استفاده از پرونده پیکربندی /etc/ipsec.conf.►19659034.06.2012 سایت دروازه های امنیتی را پیکربندی کنید (19309014) $ sudo cp /etc/ipsec.conf.orig

$ sudo nano /etc/ipsec.confociation19659036.06.2012 پیکربندی زیر را در یک پرونده کپی و جایگذاری کنید. 


 تنظیم پیکربندی
        charondebug = "همه"
        منحصر به فرد = بله
اتصال مسیر devgateway به prodgateway
        نوع = تونل
        خودکار = شروع
        متغیر کلیدی = ikev2
        authby = راز
        سمت چپ = 10.20.20.1
        leftsubnet = 192.168.0.101 / 24
        راست = 10.20.20.3
        rightsubnet = 10.0.2.15 / 24
        ike = aes256-sha1-modp1024!
        esp = aes256-sha1!
        تهاجمی = نه
        keyingtries =٪ برای همیشه
        ikelifetime = 28800s
        طول عمر = 3600s
        dpddelay = 30s
        dpdtimeout = 120s
        dpdaction = راه اندازی مجدد 


 سایت 1 دروازه (itecforu-prodgateway) 


 $ sudo cp /etc/ipsec.conf /etc/ipsec.conf.orig
$ sudo cp /etc/ipsec.confociation19659036.06.2012 پیکربندی زیر را در یک پرونده کپی و جایگذاری کنید. 


 تنظیم پیکربندی
        charondebug = "همه"
        منحصر به فرد = بله
اتصال قطعه قطعه قطعه قطار به devgateway
        نوع = تونل
        خودکار = شروع
        متغیر کلیدی = ikev2
        authby = راز
        سمت چپ = 10.20.20.3
        leftsubnet = 10.0.2.15 / 24
        راست = 10.20.20.1
        rightsubnet = 192.168.0.101 / 24
        ike = aes256-sha1-modp1024!
        esp = aes256-sha1!
        تهاجمی = نه
        keyingtries =٪ برای همیشه
        ikelifetime = 28800s
        طول عمر = 3600s
        dpddelay = 30s
        dpdtimeout = 120s
        dpdaction = Restart 




 در اینجا معنی هر پارامتر پیکربندی وجود دارد: 










    

  •  تنظیم پیکربندی - اطلاعات پیکربندی کلی را برای IPSec نشان می دهد که برای همه اتصالات کاربرد دارد. 
    • 

  •  charondebug - تعیین می کند که خروجی اشکال زدایی چارون باید چقدر وارد شود.   
    • 

  •  uniqueids - مشخص می کند که آیا یک شناسه شرکت کننده خاص باید منحصر به فرد بماند. 
    • 

  •   اتصال prodgateway به devgateway - نام اتصال را مشخص می کند. 
    • 

  •  نوع - نوع اتصال را تعیین می کند. 
    • 

  •  auto - نحوه اداره اتصال هنگام شروع یا راه اندازی مجدد IPSec. 
    • 

  •  تبادل کلید - تعریف شده است نسخه پروتکل IKE وجود دارد 
    • 

  •  authby - تعیین می کند که همسالان چگونه باید یکدیگر را تأیید کنند. 
    • 

  •  سمت چپ - آدرس IP رابط شبکه عمومی شرکت کننده سمت چپ را مشخص می کند. 
    • 

  •  leftsubnet - زیر شبکه خصوصی را در پشت شرکت کننده سمت چپ نشان می دهد. 
    • 

  •  - آدرس IP رابط شبکه عمومی شرکت کننده سمت راست را نشان می دهد. 
    • 

  •  rightsubnet - زیر شبکه خصوصی را در پشت شرکت کننده سمت چپ نشان می دهد. 
    • 

  •  ike - لیست الگوریتم های رمزگذاری / احراز هویت IKE / ISAKMP SA را تعریف می کند. می توانید لیست جدا شده با کاما را اضافه کنید. 
    • 

  •  esp - لیست الگوریتم های رمزگذاری / احراز هویت ESP را تعریف می کند که برای اتصال استفاده می شود. شما می توانید لیست را با کاما اضافه کنید. 
    • 

  •  تهاجمی - نشان می دهد که آیا از حالت تهاجمی یا اصلی استفاده کنید. 
    • 

  •  keyingtries - تعداد تلاش برای مذاکره در ارتباط را نشان می دهد. 19659044] طول عمر مشخص می کند که یک نمونه خاص از ارتباط چه مدت طول می کشد ، از مذاکره موفقیت آمیز تا انقضا. 
    • 

  •  dpddelay - فاصله زمانی را نشان می دهد که مبادلات R_U_THERE / INFORMATIONAL به همسالان ارسال شود. 
    • 

  •  dpdti meout - دوره زمانی را نشان می دهد که در صورت عدم تحرک تمام اتصالات به همسالان حذف می شوند. 
    • 

  •  dpdaction - نحوه استفاده از پروتکل Dead Peer Detection (DPD) را برای کنترل اتصال تعریف می کند. 
    • 





 برای کسب اطلاعات بیشتر در مورد پارامترهای پیکربندی فوق. با اجرای دستور صفحه شخصی ipsec.conf را بخوانید. 






 مرحله 4. پیکربندی PSK برای تأیید هویت همسالان 


 8. پس از پیکربندی هر دو گیت امنیتی ، یک PSK مطمئن ایجاد کنید که توسط گرهها توسط دستور زیر توسط گره ها استفاده شود. 


 $ head -c 24 / dev / urandom | base64 




 9. سپس PSK را به پرونده  /etc/ipsec.secretsociation19459011] در هر دو دروازه اضافه کنید. 


 $ sudo vim /etc/ipsec.secretsociation19659015† خط زیر را کپی و چسباندن کنید. 


 ----- - ضلع 1 (itecforu-devgateway) -------

10.20.20.1 10.20.20.3: PSK "qLGLTVQOfqvGLsWP75FEtLGtwN3Hu0ku6C5HItKo6ac ="

------- ضلع 2 (itsecforu-prodgateway) -------

10.20.20.3 10.20.20.1: PSK "qLGLTVQOfqvGLsWP75FEtLGtwN3Hu0ku6C5HItKo6ac =" 




 10. برنامه IPSec را مجدداً راه اندازی کنید و وضعیت آن را بررسی کنید تا اتصالات را ببینید. 


 $ sudo ipsec راه اندازی مجدد
وضعیت sudo ipsec 


 11. سرانجام ، با صدور دستور پینگ ، می توانید به زیر شبکه های خصوصی دسترسی داشته باشید. 


 $ پینگ 192.168.0.101
پینگ 10.0.2.15 




 12. از طرف دیگر ، می توانید IPSec را مانند شکل زیر متوقف کرده و راه اندازی کنید: 
 


 $ sudo ipsec stop
$ sudo ipsec start 




 13. برای کسب اطلاعات بیشتر در مورد دستورات IPSec برای ایجاد دستی اتصالات و موارد دیگر ، به صفحه راهنما IPSec مراجعه کنید. 


 $ ipsec --help