Libreswan: Skirtumas tarp puslapio versijų
Jump to navigation
Jump to search
(Jokio skirtumo)
|
Dabartinė 15:57, 5 balandžio 2019 versija
Libreswan yra site to site vpn ipsec klientas.
Ubuntu 16.04 diegimas[keisti]
# apt-get install devscripts libunbound-dev libevent-dev libsystemd-dev libnss3-dev libnspr4-dev pkg-config libcap-ng-dev libcap-ng-utils libselinux1-dev libcurl4-nss-dev flex bison gcc make libnss3-tools libldns-dev xmlto dh-systemd htmldoc libaudit-dev libldap2-dev libnss3-tools man2html po-debconf # wget https://download.libreswan.org/libreswan-3.27.tar.gz # tar xzf libreswan-3.27.tar.gz # cd libreswan-3.27 # echo USE_GLIBC_KERN_FLIP_HEADERS=true >> Makefile.inc.local # make all # make deb # cd ..;dpkg -i libreswan_3.27-1_amd64.deb
Kliento konfigūracija
- /etc/ipsec.d/tinklas.conf
config setup protostack=netkey conn tinklas type=tunnel authby=secret ikelifetime=1800s keylife=1800s ike=aes256-sha1;modp1536 phase2alg=aes256-sha1;modp1536 keyexchange=ike pfs=yes #lokalus klientas left=vidinis_ip leftsubnet=vidinis_ip/32 #nutoles serveris right=nutoles_ip rightsubnets=nutoles_vidinis_ip/32 auto=start
- /etc/ipsec.d/tinklas.secrets
vidinis_ip Nutoles_ip: PSK "Preshared-keyus"
Komandos[keisti]
Vidinės konfigūracijos tikrinimas (bet kokiu atveju, privalomas patikrinimas, ar sistema paruošta korektiškai veikti):
ipsec verify
Visiškas serviso perkrovimas:
service ipsec --full-restart
Prisijungimo pridėjimas
ipsec auto --add tinklas
Bandymas jungtis:
ipsec auto --up tinklas
Slaptažodžių/šifrų nuskaitymas:
ipsec auto --rereadsecrets
Prisijungimo pakeitimas pakeitus jo konfigūraciją:
ipsec auto --replace <connection>
Statusas:
ipsec status
IP info ir statusai:
ip xfrm pol ip xfrm state
Static route'ai: Kai kuriose libreswan versijose aptiktas bugas kuris nesudeda automatinių route'ų, todėl juos reikia nustatyti rankomis:
route add -net <nutoles_vidinis_subnet/24> gw <lokalus_vidinis_ip>
forwardas iš tinklo į serverį su vpn, tam tikro porto[keisti]
iptables -t nat -A PREROUTING -p tcp --dport 25 -j DNAT --to-destination VPN_IP:25 iptables -t nat -A POSTROUTING -p tcp -d VPN_IP --dport 25 -j SNAT --to-source LOCAL_IP
Fail?[keisti]
Žiūrim /var/log/auth.log ir /var/log/syslog TCP/IP Debuginimas:
tcpdump -n -i eth0 esp or udp port 500 or udp port 4500