úterý, 11 duben 2023 14:21

Zpřístupnění lokální LAN (VLAN) mezi geolokality pomocí šifrovaného VTI tunelu mezi servery

Napsal(a)
Ohodnotit tuto položku
(1 Hlasovat)

Virtual Tunnel Interface

Zpracoval "kapka"

Virtual Tunnel Interface IPsec (VTI) je směrovatelný typ virtuálního rozhraní pro ukončení tunelů IPsec a poskytuje jednoduchý způsob, jak vytvořit zabezpečení mezi lokalitami a vytvořit překryvnou síť. Virtual Tunnel Interface IPsec zlepšují a zjednodušují konfiguraci protokolu IPsec pomocí tunelů VPN (Virtual Private Network).

ab04:         Rocky Linux 8.7 (Green Obsidian)

        Libreswan

        Amerika

ab05:        Rocky Linux 8.7 (Green Obsidian)

        Libreswan

        Singapore

V tomto příkladě si ukážeme VTI připojení mezi dvěma hosty “ab04” a “ab05”.

Instalování balíčku `libreswan` na obou hostech a následné spuštění IPsec:

dnf install libreswan;
ipsec start

Pro autorizaci budeme v tomto příkladě používat PSK, tudíž si ho vygenerujeme pomocí `openssl` (samozřejmě nemusí být vygenerován, ale pro větší bezpečnost je to lepší):

openssl rand -base64 48

Vygeneruje se string např: b64-stringvygenerovanypomociopenssl, který následně vložíme do souboru ipsec.secrets na obou hostech, který se nachází v /etc/ipsec.secrets.

1.2.3.4 - Source IP

5.6.7.8 - Destination IP

Musíme myslet na správný formát:

# /etc/ipsec.secrets
include /etc/ipsec.d/*.secrets

1.2.3.4 5.6.7.8 : PSK 'b64-stringvygenerovanypomociopenssl'

Nyní si vytvoříme konfigurační soubor v /etc/ipsec.d/vtitunnel-vti01.conf, ve kterém nakonfigurujeme náš VTI tunnel:

@ab04

# /etc/ipsec.d/vtitunnel-vti01.conf
conn vtiab04
   # Libreswan používá k popisu koncových bodů termíny "left" a      "right".
   left=1.2.3.4
   right=5.6.7.8
   authby=secret
   leftsubnet=0.0.0.0/0
   rightsubnet=0.0.0.0/0
   auto=add
   # VPN založená na směrování vyžaduje označení a rozhraní
   mark=5/0xffffffff
   vti-interface=vti01
   # nenastavovat směrování, protože nechceme posílat 0.0.0.0/0 přes tunel.
   vti-routing=no

    # interní IP adresa
   leftvti=192.168.50.40/24

@ab05

# /etc/ipsec.d/vtitunnel-vti01.conf

conn vtiab05
   # Libreswan používá k popisu koncových bodů termíny "left" a      "right".
   left=5.6.7.8
   right=1.2.3.4
   authby=secret
   leftsubnet=0.0.0.0/0
   rightsubnet=0.0.0.0/0
   auto=add
   # VPN založená na směrování vyžaduje označení a rozhraní
   mark=5/0xffffffff
   vti-interface=vti01
   # nenastavovat směrování, protože nechceme posílat 0.0.0.0/0 přes tunel.
   vti-routing=no

    # interní IP adresa
   leftvti=192.168.50.50/24

Jakmile máme hotovou konfiguraci restartujeme IPsec na obou hostech, pomocí:

ipsec restart

Poté se ujistěte, jestli se připojení načetlo na obou hostech:

ipsec auto --add vtiab04

ipsec auto --add vtiab05

Následně zapněte tunnel na obou hostech:

ipsec auto --up vtiab04

ipsec auto --up vtiab05

Pokud vše proběhlo v pořádku, měli byste vidět něco jako:

# ipsec auto --up vtiab04
002 "vtiab04" #7: initiating Child SA using IKE SA #5
188 "vtiab04" #7: sent CREATE_CHILD_SA request for new IPsec SA
004 "vtiab04" #7: established Child SA; IPsec tunnel [0.0.0.0-255.255.255.255:0-65535 0] -> [0.0.0.0-255.255.255.255:0-65535 0] {ESP=>0x46fd4964 <0x26b3df1f xfrm=AES_CTR_128-HMAC_SHA2_512_256-MODP2048 NATOA=none NATD=none DPD=passive}

na vtiab05 to samé.

Ověříme si, jestli všechno funguje tím, že si pingneme z “ab04” na “ab05” pomocí interní sítě:

@ab04

# ping 192.168.50.50
PING 192.168.50.50 (192.168.50.50) 56(84) bytes of data.
64 bytes from 192.168.50.50: icmp_seq=1 ttl=64 time=290 ms
64 bytes from 192.168.50.50: icmp_seq=2 ttl=64 time=288 ms
64 bytes from 192.168.50.50: icmp_seq=3 ttl=64 time=288 ms
64 bytes from 192.168.50.50: icmp_seq=4 ttl=64 time=288 ms

@ab05

# ping 192.168.50.40
PING 192.168.50.40 (192.168.50.40) 56(84) bytes of data.
64 bytes from 192.168.50.40: icmp_seq=1 ttl=64 time=289 ms
64 bytes from 192.168.50.40: icmp_seq=2 ttl=64 time=293 ms
64 bytes from 192.168.50.40: icmp_seq=3 ttl=64 time=288 ms
64 bytes from 192.168.50.40: icmp_seq=4 ttl=64 time=288 ms

Jakmile pakety projdou, máme úspěšně vytvořený VTI tunnel mezi “ab04” a “ab05”.

Číst 4342 krát Naposledy změněno pondělí, 08 květen 2023 16:54
Zveřejněno v IT Administrator
Super User

Nejnovější od Super User

Více z této kategorie: « BGP spojení pro dva routery

384 komentáře

  • Odkaz Komentáře Nikegaumn neděle, 17 listopad 2024 06:27 napsal(a) Nikegaumn

    dark market list darknet links dark web access https://darknetmarketstore.com/ - dark web sites links

  • Odkaz Komentáře Nikegaumn neděle, 17 listopad 2024 05:37 napsal(a) Nikegaumn

    darkmarket dark web markets tor markets links https://darknetmarketstore.com/ - onion market

  • Odkaz Komentáře Nikegaumn neděle, 17 listopad 2024 04:46 napsal(a) Nikegaumn

    deep web links darknet drug links blackweb https://darknetmarketstore.com/ - darknet drug market

  • Odkaz Komentáře Nikegaumn neděle, 17 listopad 2024 03:55 napsal(a) Nikegaumn

    darknet seiten dark market 2024 darknet drug store https://darknetmarketstore.com/ - darkmarket

  • Odkaz Komentáře Nikegaumn neděle, 17 listopad 2024 03:05 napsal(a) Nikegaumn

    drug markets dark web dark website deep web markets https://darknetmarketstore.com/ - dark market link

  • Odkaz Komentáře Nikegaumn neděle, 17 listopad 2024 02:14 napsal(a) Nikegaumn

    dark market list darkmarket link tor market url https://darknetmarketstore.com/ - dark web market links

  • Odkaz Komentáře Nikegaumn neděle, 17 listopad 2024 01:21 napsal(a) Nikegaumn

    tor markets darknet drug store deep dark web https://darknetmarketstore.com/ - dark market url

  • Odkaz Komentáře Michaelnuato neděle, 17 listopad 2024 01:16 napsal(a) Michaelnuato

    Топовый игровой сайт игорный дом Лев предлагает для вас уникальные возможности для максимальных успехов!
    На онлайн-казино Lev вас ждут прекрасные подарки и ассортимент слотов. Только здесь вы откроете для себя сорвать крупные выигрыши с легкостью и удовольствием!
    Наше казино предлагает регулярные акции, которые улучшают ваш опыт игры. Примите участие в турнирах, чтобы достичь успеха.
    Казино Лев предлагает быстрый и легкий процесс игры, обеспечивает легкость использования на смартфоне, планшете или ПК.
    На игровом доме Лев вас приветствуют не только настольные игры, но и живые игры, которые дадут вам возможность испытать настоящее казино из любой точки мира.
    Кроме того, наш щедрый бонусный план порадуют вас бонусные кредиты на каждом шагу.
    Играй с азартом, побеждай с Lev, и получай признания каждый день!
    На платформе Лев вас встречают выгодные предложения и разнообразные игры. Только здесь вы сможете выиграть невероятные призы.
    Зарегистрируйтесь на платформе Лев и начните побеждать игровые автоматы уже моментально! казино лев, faq, правила, бонус
    казино лев 2024

  • Odkaz Komentáře Nikegaumn neděle, 17 listopad 2024 00:27 napsal(a) Nikegaumn

    deep web drug url darkmarket url how to get on dark web https://darknetmarketstore.com/ - darknet drug market

  • Odkaz Komentáře Nikegaumn sobota, 16 listopad 2024 23:34 napsal(a) Nikegaumn

    darknet sites darknet site dark web sites https://darknetmarketstore.com/ - darkmarket url

Zanechat komentář

Make sure you enter all the required information, indicated by an asterisk (*). HTML code is not allowed.

zpátky nahoru

O nás

Jsme firma se silným technickým zázemím. Disponujeme zkušeným senior týmem. Naše znalosti nám dovolují vstupovat do velkých společností i nadnárodních korporací. Spolupracujeme s leadery produktů IT technologií. Věnujeme se i zabezpečení na bázi IDS/IPS systémů. Certifikace je samozřejmostí.

Search