Libreswan: Skirtumas tarp puslapio versijų

Iš Žinynas.
Jump to navigation Jump to search
 
(Jokio skirtumo)

Dabartinė 15:57, 5 balandžio 2019 versija

Libreswan yra site to site vpn ipsec klientas.

Ubuntu 16.04 diegimas[keisti]

# apt-get install devscripts libunbound-dev libevent-dev  libsystemd-dev libnss3-dev libnspr4-dev pkg-config libcap-ng-dev libcap-ng-utils libselinux1-dev libcurl4-nss-dev flex bison gcc make libnss3-tools libldns-dev xmlto dh-systemd htmldoc libaudit-dev libldap2-dev libnss3-tools man2html po-debconf
# wget https://download.libreswan.org/libreswan-3.27.tar.gz
# tar xzf libreswan-3.27.tar.gz
# cd libreswan-3.27
# echo USE_GLIBC_KERN_FLIP_HEADERS=true >> Makefile.inc.local
# make all
# make deb
# cd ..;dpkg -i libreswan_3.27-1_amd64.deb 


Kliento konfigūracija

  • /etc/ipsec.d/tinklas.conf
config setup
   protostack=netkey
conn tinklas
       type=tunnel
       authby=secret
       ikelifetime=1800s
       keylife=1800s
       ike=aes256-sha1;modp1536
       phase2alg=aes256-sha1;modp1536
       keyexchange=ike
       pfs=yes
#lokalus klientas
       left=vidinis_ip
       leftsubnet=vidinis_ip/32
#nutoles serveris
       right=nutoles_ip
       rightsubnets=nutoles_vidinis_ip/32
       auto=start
  • /etc/ipsec.d/tinklas.secrets
vidinis_ip Nutoles_ip: PSK "Preshared-keyus"

 Komandos[keisti]

Vidinės konfigūracijos tikrinimas (bet kokiu atveju, privalomas patikrinimas, ar sistema paruošta korektiškai veikti):

ipsec verify

Visiškas serviso perkrovimas:

service ipsec --full-restart

Prisijungimo pridėjimas

ipsec auto --add tinklas

Bandymas jungtis:

ipsec auto --up tinklas

Slaptažodžių/šifrų nuskaitymas:

ipsec auto --rereadsecrets

Prisijungimo pakeitimas pakeitus jo konfigūraciją:

ipsec auto --replace <connection>

Statusas:

ipsec status

IP info ir statusai:

ip xfrm pol
ip xfrm state

Static route'ai: Kai kuriose libreswan versijose aptiktas bugas kuris nesudeda automatinių route'ų, todėl juos reikia nustatyti rankomis:

route add -net <nutoles_vidinis_subnet/24> gw <lokalus_vidinis_ip>

forwardas iš tinklo į serverį su vpn, tam tikro porto[keisti]

iptables -t nat -A PREROUTING -p tcp --dport 25 -j DNAT --to-destination VPN_IP:25
iptables -t nat -A POSTROUTING -p tcp -d VPN_IP --dport 25 -j SNAT --to-source LOCAL_IP

Fail?[keisti]

Žiūrim /var/log/auth.log ir /var/log/syslog TCP/IP Debuginimas:

tcpdump -n -i eth0 esp or udp port 500 or udp port 4500