úterý, 11 duben 2023 14:21

Zpřístupnění lokální LAN (VLAN) mezi geolokality pomocí šifrovaného VTI tunelu mezi servery

Napsal(a)
Ohodnotit tuto položku
(1 Hlasovat)

Virtual Tunnel Interface

Zpracoval "kapka"

Virtual Tunnel Interface IPsec (VTI) je směrovatelný typ virtuálního rozhraní pro ukončení tunelů IPsec a poskytuje jednoduchý způsob, jak vytvořit zabezpečení mezi lokalitami a vytvořit překryvnou síť. Virtual Tunnel Interface IPsec zlepšují a zjednodušují konfiguraci protokolu IPsec pomocí tunelů VPN (Virtual Private Network).

ab04:         Rocky Linux 8.7 (Green Obsidian)

        Libreswan

        Amerika

ab05:        Rocky Linux 8.7 (Green Obsidian)

        Libreswan

        Singapore

V tomto příkladě si ukážeme VTI připojení mezi dvěma hosty “ab04” a “ab05”.

Instalování balíčku `libreswan` na obou hostech a následné spuštění IPsec:

dnf install libreswan;
ipsec start

Pro autorizaci budeme v tomto příkladě používat PSK, tudíž si ho vygenerujeme pomocí `openssl` (samozřejmě nemusí být vygenerován, ale pro větší bezpečnost je to lepší):

openssl rand -base64 48

Vygeneruje se string např: b64-stringvygenerovanypomociopenssl, který následně vložíme do souboru ipsec.secrets na obou hostech, který se nachází v /etc/ipsec.secrets.

1.2.3.4 - Source IP

5.6.7.8 - Destination IP

Musíme myslet na správný formát:

# /etc/ipsec.secrets
include /etc/ipsec.d/*.secrets

1.2.3.4 5.6.7.8 : PSK 'b64-stringvygenerovanypomociopenssl'

Nyní si vytvoříme konfigurační soubor v /etc/ipsec.d/vtitunnel-vti01.conf, ve kterém nakonfigurujeme náš VTI tunnel:

@ab04

# /etc/ipsec.d/vtitunnel-vti01.conf
conn vtiab04
   # Libreswan používá k popisu koncových bodů termíny "left" a      "right".
   left=1.2.3.4
   right=5.6.7.8
   authby=secret
   leftsubnet=0.0.0.0/0
   rightsubnet=0.0.0.0/0
   auto=add
   # VPN založená na směrování vyžaduje označení a rozhraní
   mark=5/0xffffffff
   vti-interface=vti01
   # nenastavovat směrování, protože nechceme posílat 0.0.0.0/0 přes tunel.
   vti-routing=no

    # interní IP adresa
   leftvti=192.168.50.40/24

@ab05

# /etc/ipsec.d/vtitunnel-vti01.conf

conn vtiab05
   # Libreswan používá k popisu koncových bodů termíny "left" a      "right".
   left=5.6.7.8
   right=1.2.3.4
   authby=secret
   leftsubnet=0.0.0.0/0
   rightsubnet=0.0.0.0/0
   auto=add
   # VPN založená na směrování vyžaduje označení a rozhraní
   mark=5/0xffffffff
   vti-interface=vti01
   # nenastavovat směrování, protože nechceme posílat 0.0.0.0/0 přes tunel.
   vti-routing=no

    # interní IP adresa
   leftvti=192.168.50.50/24

Jakmile máme hotovou konfiguraci restartujeme IPsec na obou hostech, pomocí:

ipsec restart

Poté se ujistěte, jestli se připojení načetlo na obou hostech:

ipsec auto --add vtiab04

ipsec auto --add vtiab05

Následně zapněte tunnel na obou hostech:

ipsec auto --up vtiab04

ipsec auto --up vtiab05

Pokud vše proběhlo v pořádku, měli byste vidět něco jako:

# ipsec auto --up vtiab04
002 "vtiab04" #7: initiating Child SA using IKE SA #5
188 "vtiab04" #7: sent CREATE_CHILD_SA request for new IPsec SA
004 "vtiab04" #7: established Child SA; IPsec tunnel [0.0.0.0-255.255.255.255:0-65535 0] -> [0.0.0.0-255.255.255.255:0-65535 0] {ESP=>0x46fd4964 <0x26b3df1f xfrm=AES_CTR_128-HMAC_SHA2_512_256-MODP2048 NATOA=none NATD=none DPD=passive}

na vtiab05 to samé.

Ověříme si, jestli všechno funguje tím, že si pingneme z “ab04” na “ab05” pomocí interní sítě:

@ab04

# ping 192.168.50.50
PING 192.168.50.50 (192.168.50.50) 56(84) bytes of data.
64 bytes from 192.168.50.50: icmp_seq=1 ttl=64 time=290 ms
64 bytes from 192.168.50.50: icmp_seq=2 ttl=64 time=288 ms
64 bytes from 192.168.50.50: icmp_seq=3 ttl=64 time=288 ms
64 bytes from 192.168.50.50: icmp_seq=4 ttl=64 time=288 ms

@ab05

# ping 192.168.50.40
PING 192.168.50.40 (192.168.50.40) 56(84) bytes of data.
64 bytes from 192.168.50.40: icmp_seq=1 ttl=64 time=289 ms
64 bytes from 192.168.50.40: icmp_seq=2 ttl=64 time=293 ms
64 bytes from 192.168.50.40: icmp_seq=3 ttl=64 time=288 ms
64 bytes from 192.168.50.40: icmp_seq=4 ttl=64 time=288 ms

Jakmile pakety projdou, máme úspěšně vytvořený VTI tunnel mezi “ab04” a “ab05”.

Číst 4338 krát Naposledy změněno pondělí, 08 květen 2023 16:54
Zveřejněno v IT Administrator
Super User

Nejnovější od Super User

Více z této kategorie: « BGP spojení pro dva routery

384 komentáře

  • Odkaz Komentáře Nikegaumn sobota, 16 listopad 2024 22:40 napsal(a) Nikegaumn

    darkmarket dark market list blackweb https://darknetmarketstore.com/ - tor marketplace

  • Odkaz Komentáře Nikegaumn sobota, 16 listopad 2024 21:48 napsal(a) Nikegaumn

    dark web market list tor markets links darknet markets 2024 https://darknetmarketstore.com/ - tor market

  • Odkaz Komentáře Michaelcet sobota, 16 listopad 2024 21:06 napsal(a) Michaelcet

    Фантастический игровой сайт Lev предоставляет для вас незабываемые варианты для ярких побед!
    На нашей платформе Лев вас радуют удивительные акции и разнообразие игровых предложений. Только здесь вы сможете выиграть огромные суммы с легкостью и удовольствием!
    Площадка Лев предлагает интересные турниры, которые поднимут ваш азарт. Примите участие в турнирах, чтобы выиграть.
    Игровая платформа обеспечивает интуитивно понятный интерфейс, что делает игру комфортной на любой платформе.
    На игровом доме Лев вас радуют не только рулетка и покер, но и игры с реальными крупье, которые обеспечат вам испытать настоящее казино из любой точки мира.
    Кроме того, наш кэшбэк предложат вам бонусные кредиты на регулярной основе.
    Играй с азартом, побеждай с Лев, и завоевывай удивительных сумм каждый день!
    На площадке игрового дома Лев вас ожидают выгодные предложения и богатый выбор игр. Всегда здесь вы успеете получить огромные джекпоты.
    Зарегистрируйтесь на платформе Лев и погрузитесь в азарт игровые автоматы уже без промедлений! казино лев, faq, правила, бонус
    казино лев 2024

  • Odkaz Komentáře Nikegaumn sobota, 16 listopad 2024 20:57 napsal(a) Nikegaumn

    dark market tor market links darkmarket https://darknetmarketstore.com/ - darknet markets 2024

  • Odkaz Komentáře Nikegaumn sobota, 16 listopad 2024 20:06 napsal(a) Nikegaumn

    darknet markets darknet seiten deep web search https://darknetmarketstore.com/ - deep dark web

  • Odkaz Komentáře Nikegaumn sobota, 16 listopad 2024 19:15 napsal(a) Nikegaumn

    darkmarket link darknet drug market deep web drug markets https://darknetmarketstore.com/ - darknet links

  • Odkaz Komentáře Nikegaumn sobota, 16 listopad 2024 18:25 napsal(a) Nikegaumn

    deep web search tor marketplace darkmarket link https://darknetmarketstore.com/ - dark web market list

  • Odkaz Komentáře Nikegaumn sobota, 16 listopad 2024 17:33 napsal(a) Nikegaumn

    how to access dark web dark web websites dark web market list https://darknetmarketstore.com/ - tor dark web

  • Odkaz Komentáře Nikegaumn sobota, 16 listopad 2024 16:42 napsal(a) Nikegaumn

    dark markets 2024 darknet websites darknet seiten https://darknetmarketstore.com/ - darkmarket link

  • Odkaz Komentáře Nikegaumn sobota, 16 listopad 2024 15:52 napsal(a) Nikegaumn

    darknet marketplace darkweb marketplace tor markets https://darknetmarketstore.com/ - how to get on dark web

Zanechat komentář

Make sure you enter all the required information, indicated by an asterisk (*). HTML code is not allowed.

zpátky nahoru

O nás

Jsme firma se silným technickým zázemím. Disponujeme zkušeným senior týmem. Naše znalosti nám dovolují vstupovat do velkých společností i nadnárodních korporací. Spolupracujeme s leadery produktů IT technologií. Věnujeme se i zabezpečení na bázi IDS/IPS systémů. Certifikace je samozřejmostí.

Search