🖧 نحوه پیکربندی VPN مبتنی بر IPsec با استفاده از Strongswan در CentOS / RHEL 8 – Squad Security Information

strongSwan یک راه حل با منبع آزاد ، چند پلتفرمی ، پیشرفته IPsec VPN برای لینوکس با پشتیبانی کامل تبادل کلید اینترنتی (IKEv1 و IKEv2) برای ایجاد انجمن های امنیتی (SA) بین دو گره است.

این یک ابزار طراحی کامل و دارای مدولار است که ده ها پلاگین را ارائه می دهد که قابلیت های اساسی را گسترش می دهد.

🖧 نحوه پیکربندی IPSec VPN با Strongswan در Debian و Ubuntu

در این مقاله ، نحوه پیکربندی دروازه های IPsec VPN را می آموزید. با استفاده از Hovhan strongSwan تغییر در CentOS / RHEL 8. سرور

این به همسالان اجازه می دهد تا یکدیگر را با استفاده از یک کلید قدرتمند از پیش مشترک (PSK) تأیید کنند.

تنظیم "سایت 2 سایت" به این معنی است که هر دروازه امنیتی دارای زیر شبکه است.

محیط آزمایش

به خاطر داشته باشید که از آدرس های IP واقعی خود هنگام راه اندازی استفاده کنید ، به دنبال این راهنما.

دروازه 1

 IP عمومی: 192.168.56.7
IP خصوصی: 10.10.1.1/24
زیر شبکه خصوصی: 10.10.1.0/24 platform19659011.06.2012 دروازه 2 
 

 IP عمومی: 192.168.56.6
IP خصوصی: 10.20.1.1/24
زیر شبکه خصوصی: 10.20.1.0/24 ستاره19659013-03 مرحله 1: فعال کردن ارسال IP در هسته CentOS 8 
 1. با فعال کردن ویژگی ارسال IP در هسته در پرونده پیکربندی /etc/sysctl.conf در هر دو دروازه VPN شروع کنید. 
 # vi /etc/sysctl.confociation19659016† این خطوط را به پرونده اضافه کنید. 

 net.ipv4. ip_forward = 1
net.ipv6.conf.all.forwarding = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0 

 2. پس از ذخیره تغییرات در پرونده ، دستور زیر را اجرا کنید تا پارامترهای هسته جدید در زمان اجرا بارگیری شود. 

 # sysctl -p 

 3. سپس یک مسیر ثابت ایستا در پرونده / etc / sysconfig / network-scripts / path-eth0 در هر دو دروازه امنیتی ایجاد کنید. 

 # vi / etc / sysconfig / network-scripts / way-eth0 


 خط زیر را به پرونده اضافه کنید. 
 # دروازه 1 سایت
10.20.1.0/24 از طریق 192.168.56.7

# سایت 2 دروازه
10.10.1.0/24 از طریق 192.168.56.6 


 4. سپس مدیر شبکه را مجدداً اعمال کنید تا تغییرات جدید اعمال شود. 
 # systemctl راه اندازی مجدد NetworkManager 
 مرحله 2: strongSwan را روی CentOS 8 نصب کنید 
 5. Strongswan در مخزن EPEL ارائه شده است. 
   برای نصب آن ، باید مخزن EPEL را فعال کنید و سپس strongwan را در هر دو دروازه امنیتی نصب کنید. 
 # dnf install epel-release
# dnf install strongswan 
 6. برای تأیید نسخه هیدسوان نصب شده در هر دو دروازه ، دستور زیر را اجرا کنید. 
 # نسخه strongswan 
 7. سپس خدمات راه انداز را راه اندازی کنید و در هنگام راه اندازی سیستم ، شروع اتوماتیک را فعال کنید. 
   سپس وضعیت را در هر دو دروازه امنیتی بررسی کنید. 
 # systemctl start powerswan
# systemctl نیرو شوی را فعال کنید
# systemctl status forcswan 


 توجه: آخرین نسخه از powerswan در CentOS / REHL 8 با پشتیبانی swanctl (ابزار جدید قابل حمل خط فرمان معرفی شده در strongSwan 5.2.0 ، استفاده شده برای پیکربندی ، مدیریت و نظارت بر Daemon IKE Charon با استفاده از افزونه vici)   و یک برنامه پرتاب (یا ipsec) با استفاده از افزونه میراث Stroke. 

 8. فهرست اصلی پیکربندی / etc / strongswan / است که شامل فایلهای پیکربندی برای هر دو افزونه است: 

 # ls / etc / strongswan / 

 برای این آموزش ، ما از ابزار IPsec استفاده می کنیم ، که با استفاده از دستور strongswan و رابط سکته مغزی نامیده می شود. 
 بنابراین ، ما از پرونده های پیکربندی زیر استفاده خواهیم کرد: 





 /etc/strongswan/ipsec.conf - پرونده پیکربندی زیر سیستم IPSec strongSwan. 

 /etc/strongswan/ipsec.secrets - پرونده اسرار. 


 مرحله 3 : پیکربندی دروازه های امنیتی 
 9. در این مرحله ، باید پروفایل های اتصال را در هر دروازه امنیتی برای هر طرف با استفاده از فایل پیکربندی /etc/strongswan/ipsec.confociation19659045.06.2012 پیکربندی کنید مشخصات پروفایل اتصال طرف 1 

 # cp /etc/strongswan/ipsec.conf / etc./ strongswan / ipsec.conf.orig
# vi /etc/strongswan/ipsec.confociation19659047.06.2012 پیکربندی زیر را در یک پرونده کپی و جایگذاری کنید. 

 تنظیم پیکربندی
        charondebug = "همه"
        منحصر به فرد = بله
اتصال ateway1 به دروازه2
        نوع = تونل
        خودکار = شروع
        متغیر کلیدی = ikev2
        authby = راز
        سمت چپ = 192.168.56.7
        leftsubnet = 10.10.1.1 / 24
        راست = 192.168.56.6
        rightsubnet = 10.20.1.1 / 24
        ike = aes256-sha1-modp1024!
        esp = aes256-sha1!
        تهاجمی = نه
        keyingtries =٪ برای همیشه
        ikelifetime = 28800s
        طول عمر = 3600s
        dpddelay = 30s
        dpdtimeout = 120s
        dpdaction = راه اندازی مجدد 



 پیکربندی پروفایل اتصال سمت 2 

 # cp /etc/strongswan/ipsec.conf /etc/strongswan/ipsec.conf.orig
# vi /etc/strongswan/ipsec.confociation19659051† پیکربندی زیر را در پرونده کپی و جایگذاری کنید. 

 تنظیم پیکربندی
        charondebug = "همه"
        منحصر به فرد = بله
2gateway-to-gateway1 را وصل کنید
        نوع = تونل
        خودکار = شروع
        متغیر کلیدی = ikev2
        authby = راز
        سمت چپ = 192.168.56.6
        leftsubnet = 10.20.1.1 / 24
        راست = 192.168.56.7
        rightsubnet = 10.10.1.1 / 24
        ike = aes256-sha1-modp1024!
        esp = aes256-sha1!
        تهاجمی = نه
        keyingtries =٪ برای همیشه
        ikelifetime = 28800s
        طول عمر = 3600s
        dpddelay = 30s
        dpdtimeout = 120s
        dpdaction = راه اندازی مجدد 

 بیایید مختصراً هریک از پارامترهای پیکربندی ذکر شده را شرح دهیم: 




 تنظیم پیکربندی - اطلاعات پیکربندی کلی را برای IPSec تعریف می کند که برای همه اتصالات کاربرد دارد. 

 charondebug - مشخص می کند چه مقدار خروجی اشکال زدایی چارون باید وارد شود. 

 uniqueids - تعیین می کند که آیا یک شناسه عضو خاص باید منحصر به فرد بماند. 

 اتصال gateway1-to-gateway2 - برای تنظیم نام اتصال استفاده می شود. 

 نوع - نوع اتصال را مشخص می کند. 

 خودکار - برای اعلام نحوه اداره اتصال هنگام شروع یا راه اندازی مجدد IPSec استفاده می شود. 

 تبادل کلید - نسخه پروتکل IKE را برای استفاده اعلام می کند. 

 authby - نشان می دهد که چگونه همسالان باید یکدیگر را تأیید کنند. 

 سمت چپ - آدرس IP رابط شبکه عمومی طرف چپ را اعلام می کند. 

 leftsubnet - یک زیر شبکه شخصی را در پشت عضو چپ اعلام می کند. 

 سمت راست - آدرس IP رابط شبکه عمومی شرکت کننده سمت راست را اعلام می کند. 

 rightsubnet - یک زیر شبکه شخصی را در پشت عضو چپ اعلام می کند. 

 ike - برای اعلام لیست الگوریتم های رمزگذاری / تأیید اعتبار استفاده شده IKE / ISAKMP SA. لطفاً توجه داشته باشید که این یک لیست جدا از کاما است. 

 esp - لیستی از الگوریتم های رمزگذاری / احراز هویت ESP را مشخص می کند که برای اتصال استفاده می شود. 

 پرخاشگرانه - نشان می دهد که آیا از حالت پرخاشگرانه یا اساسی استفاده کنید. 

 keyingtries - تعداد تلاش های مذاکره در مورد اتصال را اعلام می کند. 

 ikelifetime - مشخص می کند که کانال کلید اتصال قبل از مذاکره چه مدت باید دوام داشته باشد. 

 طول عمر - نشان می دهد که یک نمونه خاص از ارتباط چه مدت باید ادامه داشته باشد ، از مذاکره موفقیت آمیز تا انقضا. 

 dpddelay - فاصله زمانی را که پیام ها به همتا ارسال می شود اعلام می کند. 

 dpdtimeout - برای اعلام فاصله زمانی متوقف می شود که پس از آن در صورت غیرفعال بودن ، تمام اتصالات به همسالان حذف می شوند. 

 dpdaction - نحوه استفاده از پروتکل Dead Peer Detection (DPD) برای کنترل اتصال را نشان می دهد. 




 می توانید با خواندن صفحه man ipsec.conf ، توضیحی در مورد کلیه پارامترهای پیکربندی برای زیر سیستم IPSec strongSwan بیابید. 

 # man ipsec.conf 
 مرحله 4. پیکربندی PSK برای تأیید هویت همتا به همسالان 
 10. سپس شما نیاز به ایجاد یک PSK قوی دارید که توسط گره ها جهت تأیید اعتبار به شرح زیر استفاده می شود. 
 # head -c 24 / dev / urandom | base64 

 11. PSK را به پرونده /etc/strongswan/ipsec.conf در هر دو دروازه امنیتی اضافه کنید. 

 # vi /etc/strongswan/ipsec.secretsociation19659080( خط زیر را در پرونده وارد کنید. 
 # سایت 1 دروازه
192.168.56.7 192.168.56.6: PSK "0GE0dIEA0IOSYS2o22wYdicj / lN4WoCL"

# سایت 1 دروازه
192.168.56.6 192.168.56.7: PSK "0GE0dIEA0IOSYS2o22wYdicj / lN4WoCL" 

 12. سپس سرویس strongsan را شروع کرده و وضعیت اتصالات را بررسی کنید. 

 # systemctl راه اندازی مجدد نیرو
# وضعیت نیروزوان 
 13. با صدور دستور پینگ می توانید به زیر شبکه های خصوصی دسترسی داشته باشید. 
 # پینگ 10.20.1.1
# پینگ 10.10.1.1 
 14. و نکته آخر ، برای کسب اطلاعات بیشتر در مورد دستورات powerswan برای تنظیم دستی / قطع ارتباط و سایر موارد ، به صفحه راهنمایی strongswan مراجعه کنید. 
 # strongswan --help