eltacoasado.com

  

Beste Artikel:

  
Main / Openswan Howto Site zu Site

Openswan Howto Site zu Site

Wenn Sie über einen Linux-Computer und einige geschulte Experten verfügen, die daran arbeiten können, können Sie das erforderliche Architektur-Setup nahezu kostenlos durchführen. Ein Linux-Computer kann Ihre webbasierten Anwendungen mit Strom versorgen und die meisten verfügbaren proprietären Anwendungen übertreffen, wenn er richtig konfiguriert ist.

In diesem Blog-Beitrag werden wir die Konfiguration einer sehr weit verbreiteten Technologie diskutieren, die als VPN bezeichnet wird. Ein Linux-Computer kann als Router konfiguriert werden, der den Datenverkehr innerhalb und außerhalb Ihrer Infrastruktur weiterleitet. Wenn Sie verstehen möchten, wie ein Linux-Router eine NAT-Netzwerkadressübersetzung durchführt, empfehle ich Ihnen, den folgenden Blog-Beitrag zu lesen.

Netzwerkadressübersetzung unter Linux. Die meisten Unternehmen haben heutzutage Niederlassungen an geografisch unterschiedlichen Standorten, die eine gegenseitige Konnektivität erfordern. Die Verbindung zwischen diesen geografisch isolierten Büros oder Niederlassungen kann jedoch nur über das Internet erfolgen, das ein unsicheres Medium darstellt.

Das Internet ist ein unsicheres Medium, einfach weil sich zwischen Ihnen und Ihrem Ziel viele Netzwerkgeräte befinden, die Ihre Kommunikation leicht lesen können. Und das Interessante ist, dass Sie Ihr Ziel nicht über das Internet erreichen können, indem Sie diese miteinander verbundenen Netzwerke und Geräte umgehen.

Sie können Ihre Informationen jedoch so senden, dass nur der Zielhost sie öffnen und lesen kann. Es gibt Verschlüsselungstechnologien, die zum Schutz Ihrer Kommunikation über das Kabel beitragen.

Verschiedene Technologien können verwendet werden, um Ihre Kommunikation zu verschlüsseln. Informationen zum Verständnis von IPSec und seiner Funktionsweise finden Sie unter dem folgenden Link. Es gibt auch andere Technologien, die die Datenkommunikation über Kabel schützen. Einige davon sind nachstehend aufgeführt. Wir können sie jedoch nicht zuverlässig für den Zweck verwenden, zwei Zweigstellen miteinander zu verbinden, die über das Internet geografisch isoliert sind.

VPN ist eine sehr nützliche Technologie, die häufig in Organisationen eingesetzt wird, die einen sicheren Remotezugriff auf das Remote-Netzwerk benötigen. Einige bemerkenswerte Punkte zu Virtual Private Networks sind unten aufgeführt. Mit anderen Worten, ein ganzes IP-Paket wird aus Sicherheitsgründen verschlüsselt. IPSec wird zur Authentifizierung sowie zur Verschlüsselung der gesamten Kommunikation zwischen zwei Hosts im Internet verwendet.

Da IPSec in der Netzwerkschicht arbeitet, wird der von allen Anwendungen generierte Datenverkehr standardmäßig verschlüsselt und gesendet. Daher müssen keine Änderungen an der vorhandenen Anwendung vorgenommen werden, um sie mit IPSec kompatibel zu machen. Wir werden eine solche IPSec-Implementierung unter Linux verwenden, um einen Tunnel zwischen zwei privaten Netzwerken über das Internet zu erstellen.

Es gab ein Projekt namens Free-Swan, das die erste Implementierung von IPSec unter Linux war, aber aus irgendeinem Grund dauerte das Projekt nicht lange. Die letzte Version von Free-Swan wurde 2004 veröffentlicht.

In der oben gezeigten Abbildung habe ich versucht, das VPN-Setup darzustellen, das wir jetzt konfigurieren werden. Im obigen Diagramm sind zwei Netzwerke dargestellt. Diese beiden Netzwerke sind geografisch voneinander isoliert und natürlich private Netzwerkadressen. Sie können nicht über das Internet weitergeleitet werden, um miteinander zu kommunizieren.

Wir werden diese beiden Netzwerke miteinander verbinden, damit die Hosts in Netzwerk A mit Hosts in Netzwerk B kommunizieren können, genau wie sie mit jedem lokalen Netzwerk kommunizieren.

Damit dies funktioniert, werden wir zwei VPN-Server haben. Diese Art von Setup wird als Gateway-zu-Gateway oder manchmal als Site-to-Site-VPN bezeichnet. Beide benötigen eine öffentliche Internet-IP-Adresse, um über das Internet miteinander zu kommunizieren.

Diese Konfiguration ist sehr wichtig, damit Clients in beiden Netzwerken das andere Netzwerk erreichen können und das Routing ordnungsgemäß funktioniert. Der erste Schritt besteht darin, die IP-Weiterleitung zu konfigurieren.

Der Name selbst deutet darauf hin, dass er zum Weiterleiten von Paketen verwendet wird, die für andere Hosts bestimmt sind. Dies geschieht im Grunde genommen, wenn ein Linux-Computer als Router fungieren muss. In unserem Fall, einen VPN-Tunnel zwischen zwei Netzwerken einzurichten, fungieren beide VPN-Server als Router, um das Netzwerk auf der anderen Seite zu erreichen.

Daher müssen wir es aktivieren. Die IP-Weiterleitung kann unter Linux mit dem folgenden Befehl im laufenden Betrieb aktiviert werden. Daher müssen wir unsere IP-Weiterleitung dauerhaft machen. Dies kann durch Ändern von sysctl erfolgen. Um diese Änderung in sysctl wirksam zu machen, können Sie den folgenden Befehl ausführen.

Bitte vergessen Sie nicht, die IP-Weiterleitung auf beiden VPN-Servern zu aktivieren. Fügen wir eine Iptables-Regel hinzu, die die Quell-IP-Adresse eines Pakets ändert, bevor dieses Paket gesendet wird. Dies ist sehr nützlich, da dies beim Ändern der Quell-IP des Pakets hilft. Im Netzwerk Ein VPN-Server gibt den folgenden Befehl ein.

Der obige Befehl im Netzwerk Ein VPN-Server ändert die Quelladresse eines von 172 stammenden Pakets. Wenden Sie auf dem VPN-Server auf der anderen Seite denselben obigen Befehl mit der Quelladresse von 172 an. Jetzt können Sie openswan installieren und konfigurieren IPSec-Server auf beiden VPN-Servern. Mit den IPSec-Tunneln von Openswan können Sie den durch den Tunnel fließenden Datenverkehr auf zwei Arten authentifizieren. Die beiden Methoden werden unten erwähnt.

Wir werden beide Konfigurationen einzeln sehen. Sehen wir uns zuerst das gemeinsame Geheimnis für die Verschlüsselung in openswan ipsec an. Das Erstellen eines Tunnels zwischen zwei separaten Netzwerken mit dem gemeinsamen Geheimnis von openswan ist die einfachste und schnellste Methode.

Damit dies ordnungsgemäß funktioniert, beginnen wir mit der Installation von openswan auf dem Linux-Computer. Das Paket ist für fast alle Linux-Distributionen verfügbar. Sie können das Systempaket verwalten verwenden, um openswan zu installieren. Yum Tutorial unter Linux. Der folgende Befehl yum kann verwendet werden, um openswan unter Linux zu installieren. Sie können jedoch in jeder Verteilung das gleiche Ergebnis erzielen, ohne dass große Änderungen vorgenommen werden müssen.

Jetzt ist der zweite Schritt die Konfiguration unserer IPSec. KLIPS ist derzeit die stabilere, die einfacher zu bedienen ist. IPSec verschlüsselt Pakete auf Netzwerkebene, dh ein gesamtes IP-Paket wird zusammen mit seinen Headern verschlüsselt, und manchmal wird ein neuer Header angehängt, wenn Sie IP-Pakete maskieren.

Damit das IPSec-Paket NAT-Geräte durchlaufen kann, müssen Sie diese Option aktivieren, indem Sie sie auf den Wert "yes" setzen. Dies kann zu Problemen führen, wenn der Server, zu dem Sie eine Verbindung herstellen, intern denselben IP-Bereich verwendet. Angenommen, der IPSec-Server verbindet Sie mit 192. Die Clientseite oder die Serverseite?. Die beste Methode besteht darin, alle privaten Subnetze mit Ausnahme der vom Server verwendeten Bereiche hinzuzufügen.

Dies ist das erste Argument, das den Namen der Verbindung erwähnt. Sie können einen beliebigen Namen angeben, um die Tunnel zu identifizieren. Die IP-Adresse des lokalen IPSec-Servers. Kann eine IP-Adresse oder ein vollqualifizierter Domainname sein. Was ist das Subnetz, das durch diesen Tunnel auf dieser Seite des Tunnels erreichbar sein wird? Durch einfaches Hinzufügen von Routen auf beiden Seiten ohne Hinzufügen des Subnetzes sind die Hosts nicht erreichbar. Nehmen wir ein Beispiel. Oder wenn Sie einfach den Prozess von ipsec vorantreiben möchten.

Denken Sie jedoch nur an eine Tatsache, dass der Tunnel mit vorinstallierten Schlüsselkennwörtern auf beiden VPN-Servern identisch sein sollte. Jetzt müssen wir genau die gleiche Konfiguration auf dem VPN-Server auf der anderen Seite haben, mit den erforderlichen Änderungen in left, right, leftsubnet, rightsubnet, leftid, rightid.

Um das Konzept zu verdeutlichen, muss der Wert von right auf dem anderen VPN-Server der Wert von left auf diesem VPN-Server sein. Auch die IPSec. Sobald die Konfiguration perfekt ist, starten Sie den IPSec-Dienst auf beiden Seiten neu.

Ihr Tunnel muss einwandfrei funktionieren, wenn Sie keinen Konfigurationsfehler gemacht haben. Sie können den Tunnel überprüfen, indem Sie eine beliebige IP-Adresse im Remote-Subnetz anpingen. Sehen wir uns nun, wie bereits erwähnt, die zweite Methode an, die zur Authentifizierung unserer IPSec verwendet werden kann. Wir werden zuerst rsa-Schlüssel auf beiden VPN-Servern erstellen, dann sehen wir den IPSec. Mit dem folgenden Befehl können Sie einen RSA-Schlüssel für Ihren VPN-Server erstellen.

Der obige Befehl sollte einen 2048-Schlüssel für Ihren VPN-Server in ipsec erstellen. Führen Sie denselben Befehl auf dem VPN-Server auf der anderen Seite aus. Jetzt haben Sie zwei RSA-Schlüssel mit einer Größe von 2048 Bit auf beiden Servern.

Nun kommt der Hauptteil der Konfiguration von ipsec. Eine Beispielkonfigurationsdatei mit rsasig-Authentifizierung ist unten dargestellt. Nehmen Sie auf beiden Servern genau die gleiche Konfiguration vor, und Sie sind fertig. Starten Sie nun den IPSec-Dienst auf beiden Servern neu, um den Tunnel zu aktivieren. Wie zuvor vorgeschlagen, können Sie versuchen, das Remote-Subnetz zu pingen, um den Verbindungsstatus zu testen. Das war für Routing-Zwecke maily, wodurch das Routing für Client-Computer in beiden Netzwerken ermöglicht wird, sich gegenseitig zu erreichen.

Also auf Client-Computern innerhalb von 172. Die gleiche Art von Route zum Erreichen von Netzwerk A muss auf den Clients innerhalb von Netzwerk B hinzugefügt werden. Haben Sie einen Kommentar dazu, dass lefsubnet mit der gültigen IP-Adresse und nicht mit der internen IP-Adresse definiert wurde? Ist es möglich? Ich habe 8 gültige Adressen, die an meine Firewall weitergeleitet werden. Wir haben zwei Schnittstellen: Der interne Computer verfügt über ein Eins-zu-Eins- oder Maskerade-NAT mit der gültigen IP-Adresse. Wenn er jedoch versucht, eine Verbindung über das VPN herzustellen, stellt er in Wirklichkeit keine Verbindung her und versucht, das Ziel über das normale Ziel zu erreichen Internetverbindung und nicht das VPN.

(с) 2019 eltacoasado.com