Opens Wan
of 11
-
Upload
adrianjezycki4888 -
Category
Documents
-
view
166 -
download
0
Transcript of Opens Wan
OpenswanInstalacja i konfiguracja
Adrian Jeycki
Rozwizania VPN PPTP, PoPToP tinc ppp over ssh VTun Rozwizania sprzetowe SSL/VPN Openswan ( implementacja ipsec)
Openswan - wstpDo uruchomienia vpn z uyciem openswan potrzebujemy: Dwie maszyny dziaajce pod kontrol systemu linux, mog by stacje robocze lub bramy w zalenoci od potrzeb. Openswan oraz ipsec-tools Maszyny powinny znajdowa si za tym samym NAT'em lub mie zewntrzne adresy ip oraz nie posiada po drodze firewalla
Openswan - instalacjaInstalacja odbywa si poprzez polecenie:apt-get install openswan ipsec-tools
Openswan - konfiguracjaPodstawowa czynno generowanie glucza RSAipsec newhostkey --verbose --bits 2048 --hostname lab1 -output /etc/ipsec.secrets
Dopisanie klucza do pliku konfiguracyjnegoipsec showhostkey --right >>/etc/ipsec.conf
Openswan konfiguracja A$ vim /etc/ipsec.conf left=85.14.95.1 #adres serwera A # leftsubnet=10.0.0.0/16 ta linie wykorzystujemy w przypadku czenia dwch bram, w przypadku dwch hostw jest zbdna leftid=@lab1 #nazwa serwera A leftrsasigkey=(klucz publiczny serwera A, dokleilismy go na koncu pliku) right=94.23.59.177 # rightsubnet=10.1.0.0/16 jak wczesniej rightid=@lab2 rightrsasigkey=(klucz publiczny B) auto=add #po przetestowaniu ustawie zostanie zmieniona na start config setup interfaces=%defaultroute #powysza opcja nie funkcjonuje w nowym debianie nat_traversal=no #transmisja przez nat protostack=netkey
conn swan #nazwa jest dowolnaauth=esp authby=rsasig pfs=yes
Openswan konfiguracja cd.Kopiowanie konfiguracji na drug maszynscp /etc/ipsec.conf root@lab2:/etc/ipsec.conf
Dopisanie klucza do pliku konfiguracyjnegoipsec showhostkey - -left >>/etc/ipsec.conf
Kopiowanie konfiguracji z powrotemscp /etc/ipsec.conf root@lab1:/etc/ipsec.conf
Openswan konfiguracja B$ vim /etc/ipsec.conf left=94.23.59.177 # leftsubnet=10.1.0.0/16 config setup interfaces=%defaultroute #powysza opcja nie funkcjonuje w nowym debianie nat_traversal=no #transmisja przez nat protostack=netkey leftid=lab2 leftrsasigkey=(klucz publiczny serwera B) right= 85.14.95.1 # rightsubnet=10.0.0.0/16 rightid=lab1
conn swan #nazwa jest dowolnaauth=esp authby=rsasig pfs=yes
rightrsasigkey=(klucz publiczny A)auto=add #jw
Konfiguracja jest lustrzanym odbiciem tej na pierwszej maszynie
Openswan - uruchamianieUruchamianie:service ipsec start ipsec auto --add swan ipsec auto --up swan
Openswan - weryfikacjaWeryfikacja poczeniaip xfrm state
Zmieniam w plikach ipsec.conf auto=add na auto=start, poczenie uruchomi wraz ze startem openswan Inne informacje o stanie polaczenia ipsec auto --status
Openswan dodatkowe informacjeDla zwikszenia bezpieczestwa mona uyc silniejszych kluczy RSA lub certyfikatu X.509 W przypadku gdy nie potrzebujemy silnych zabezpiecze moemy wykorzysta klucz PSK Praca z NAT'em bywa uciliwa Pakiety openswan s enkapsulowane aby nie zostay uszkodzone przez NAT. W przypadku ruchu za natem openswan nasuchuje ike na standardowym porcie 500 (udp) oraz oczekuje esp na porcie 4500 (udp) ike internet key exchange esp encapsulation security payload
![ภาพนิ่ง 1 · 2020. 7. 7. · - (Idem) - (Idem) - (låaan) - (låaan) - (llanoan) - (Idem) - (Wan) - (låaan) - (låaan - (Ilanaan) (l]anaan) - (Ilanaan) - (låaan) -](https://static.fdocuments.pl/doc/165x107/612d1b011ecc51586941fb72/aaaaaaa-1-2020-7-7-idem-idem-laan-laan-.jpg)
