úterý, 11 duben 2023 14:21

Zpřístupnění lokální LAN (VLAN) mezi geolokality pomocí šifrovaného VTI tunelu mezi servery

Napsal(a)
Ohodnotit tuto položku
(1 Hlasovat)

Virtual Tunnel Interface

Zpracoval "kapka"

Virtual Tunnel Interface IPsec (VTI) je směrovatelný typ virtuálního rozhraní pro ukončení tunelů IPsec a poskytuje jednoduchý způsob, jak vytvořit zabezpečení mezi lokalitami a vytvořit překryvnou síť. Virtual Tunnel Interface IPsec zlepšují a zjednodušují konfiguraci protokolu IPsec pomocí tunelů VPN (Virtual Private Network).

ab04:         Rocky Linux 8.7 (Green Obsidian)

        Libreswan

        Amerika

ab05:        Rocky Linux 8.7 (Green Obsidian)

        Libreswan

        Singapore

V tomto příkladě si ukážeme VTI připojení mezi dvěma hosty “ab04” a “ab05”.

Instalování balíčku `libreswan` na obou hostech a následné spuštění IPsec:

dnf install libreswan;
ipsec start

Pro autorizaci budeme v tomto příkladě používat PSK, tudíž si ho vygenerujeme pomocí `openssl` (samozřejmě nemusí být vygenerován, ale pro větší bezpečnost je to lepší):

openssl rand -base64 48

Vygeneruje se string např: b64-stringvygenerovanypomociopenssl, který následně vložíme do souboru ipsec.secrets na obou hostech, který se nachází v /etc/ipsec.secrets.

1.2.3.4 - Source IP

5.6.7.8 - Destination IP

Musíme myslet na správný formát:

# /etc/ipsec.secrets
include /etc/ipsec.d/*.secrets

1.2.3.4 5.6.7.8 : PSK 'b64-stringvygenerovanypomociopenssl'

Nyní si vytvoříme konfigurační soubor v /etc/ipsec.d/vtitunnel-vti01.conf, ve kterém nakonfigurujeme náš VTI tunnel:

@ab04

# /etc/ipsec.d/vtitunnel-vti01.conf
conn vtiab04
   # Libreswan používá k popisu koncových bodů termíny "left" a      "right".
   left=1.2.3.4
   right=5.6.7.8
   authby=secret
   leftsubnet=0.0.0.0/0
   rightsubnet=0.0.0.0/0
   auto=add
   # VPN založená na směrování vyžaduje označení a rozhraní
   mark=5/0xffffffff
   vti-interface=vti01
   # nenastavovat směrování, protože nechceme posílat 0.0.0.0/0 přes tunel.
   vti-routing=no

    # interní IP adresa
   leftvti=192.168.50.40/24

@ab05

# /etc/ipsec.d/vtitunnel-vti01.conf

conn vtiab05
   # Libreswan používá k popisu koncových bodů termíny "left" a      "right".
   left=5.6.7.8
   right=1.2.3.4
   authby=secret
   leftsubnet=0.0.0.0/0
   rightsubnet=0.0.0.0/0
   auto=add
   # VPN založená na směrování vyžaduje označení a rozhraní
   mark=5/0xffffffff
   vti-interface=vti01
   # nenastavovat směrování, protože nechceme posílat 0.0.0.0/0 přes tunel.
   vti-routing=no

    # interní IP adresa
   leftvti=192.168.50.50/24

Jakmile máme hotovou konfiguraci restartujeme IPsec na obou hostech, pomocí:

ipsec restart

Poté se ujistěte, jestli se připojení načetlo na obou hostech:

ipsec auto --add vtiab04

ipsec auto --add vtiab05

Následně zapněte tunnel na obou hostech:

ipsec auto --up vtiab04

ipsec auto --up vtiab05

Pokud vše proběhlo v pořádku, měli byste vidět něco jako:

# ipsec auto --up vtiab04
002 "vtiab04" #7: initiating Child SA using IKE SA #5
188 "vtiab04" #7: sent CREATE_CHILD_SA request for new IPsec SA
004 "vtiab04" #7: established Child SA; IPsec tunnel [0.0.0.0-255.255.255.255:0-65535 0] -> [0.0.0.0-255.255.255.255:0-65535 0] {ESP=>0x46fd4964 <0x26b3df1f xfrm=AES_CTR_128-HMAC_SHA2_512_256-MODP2048 NATOA=none NATD=none DPD=passive}

na vtiab05 to samé.

Ověříme si, jestli všechno funguje tím, že si pingneme z “ab04” na “ab05” pomocí interní sítě:

@ab04

# ping 192.168.50.50
PING 192.168.50.50 (192.168.50.50) 56(84) bytes of data.
64 bytes from 192.168.50.50: icmp_seq=1 ttl=64 time=290 ms
64 bytes from 192.168.50.50: icmp_seq=2 ttl=64 time=288 ms
64 bytes from 192.168.50.50: icmp_seq=3 ttl=64 time=288 ms
64 bytes from 192.168.50.50: icmp_seq=4 ttl=64 time=288 ms

@ab05

# ping 192.168.50.40
PING 192.168.50.40 (192.168.50.40) 56(84) bytes of data.
64 bytes from 192.168.50.40: icmp_seq=1 ttl=64 time=289 ms
64 bytes from 192.168.50.40: icmp_seq=2 ttl=64 time=293 ms
64 bytes from 192.168.50.40: icmp_seq=3 ttl=64 time=288 ms
64 bytes from 192.168.50.40: icmp_seq=4 ttl=64 time=288 ms

Jakmile pakety projdou, máme úspěšně vytvořený VTI tunnel mezi “ab04” a “ab05”.

Číst 6707 krát Naposledy změněno pondělí, 08 květen 2023 16:54
Zveřejněno v IT Administrator
Super User

Nejnovější od Super User

Více z této kategorie: « BGP spojení pro dva routery

588 komentáře

  • Odkaz Komentáře Nikegaumn sobota, 16 listopad 2024 10:56 napsal(a) Nikegaumn

    tor dark web blackweb official website tor dark web https://darknetmarketstore.com/ - darknet markets

  • Odkaz Komentáře Michaeltruff sobota, 16 listopad 2024 10:34 napsal(a) Michaeltruff

    Потрясающий игровой сайт игорный дом Лев предоставляет для вас фантастические возможности для победных стратегий!
    На площадке Лев вас встречают щедрые бонусы и разнообразные игры. Только здесь вы откроете для себя получить огромные суммы с легкостью и удовольствием!
    Наше казино предлагает ежедневные бонусы, которые увеличат ваш настроение. Примите участие в розыгрышах, чтобы сорвать куш.
    Наш сайт гарантирует интуитивно понятный интерфейс, позволяет наслаждаться игрой без трудностей на смартфоне, планшете или ПК.
    На Лев вас радуют не только слоты, но и живые игры, которые дадут вам возможность насладиться реальным игровым процессом в любое время.
    Кроме того, наш бонусная система порадуют вас дополнительные шансы на выигрыш на каждом шагу.
    Играй с фантастическим азартом, побеждай с Лев, и получай признания каждый день!
    На сайте Лев вас радуют щедрые бонусы и разнообразные игры. Только здесь вы получите возможность выиграть крупные выигрыши.
    Зарегистрируйтесь на нашем сайте и начните выигрывать игровые автоматы уже прямо сейчас! казино лев, faq, правила, бонус
    казино лев 2024

  • Odkaz Komentáře Nikegaumn sobota, 16 listopad 2024 10:08 napsal(a) Nikegaumn

    tor markets 2024 dark web link darknet drug links https://darknetmarketstore.com/ - tor dark web

  • Odkaz Komentáře Nikegaumn sobota, 16 listopad 2024 09:19 napsal(a) Nikegaumn

    bitcoin dark web deep web drug links dark market onion https://darknetmarketstore.com/ - dark websites

  • Odkaz Komentáře Nikegaumn sobota, 16 listopad 2024 08:31 napsal(a) Nikegaumn

    dark market url deep web markets deep web drug links https://darknetmarketstore.com/ - darkmarket 2024

  • Odkaz Komentáře Nikegaumn sobota, 16 listopad 2024 07:42 napsal(a) Nikegaumn

    darknet marketplace how to get on dark web tor markets https://darknetmarketstore.com/ - darknet websites

  • Odkaz Komentáře MichaelNuT sobota, 16 listopad 2024 07:04 napsal(a) MichaelNuT

    Актуальный игровой сайт Лев дарит для вас великолепные опции для ярких побед!
    На онлайн-казино Lev вас радуют щедрые бонусы и множество игровых автоматов. Именно здесь вы получите возможность сорвать огромные джекпоты с легкостью и удовольствием!
    Площадка Лев предлагает ежедневные бонусы, которые увеличат ваш азарт. Примите участие в розыгрышах, чтобы достичь успеха.
    Игровая платформа обеспечивает эргономичный интерфейс, гарантирует комфортный процесс игры на любом гаджете.
    На Лев вас приветствуют не только видеослоты, но и столы с живыми дилерами, которые дадут вам возможность испытать настоящее казино в любое время.
    Кроме того, наш кэшбэк предложат вам фриспины при каждом пополнении.
    Играй с азартом, побеждай с игровым домом Лев, и получай богатства каждый день!
    На площадке Lev вас встречают выгодные предложения и огромный выбор игровых автоматов. Всегда здесь вы успеете выиграть невероятные призы.
    Зарегистрируйтесь на нашем сайте и запустите игру игровые автоматы уже моментально! казино лев, faq, правила, бонус
    казино лев 2024

  • Odkaz Komentáře Nikegaumn sobota, 16 listopad 2024 06:52 napsal(a) Nikegaumn

    darknet drugs dark web sites links darknet marketplace https://darknetmarketstore.com/ - dark web search engine

  • Odkaz Komentáře Nikegaumn sobota, 16 listopad 2024 06:04 napsal(a) Nikegaumn

    deep dark web drug markets dark web drug markets onion https://darknetmarketstore.com/ - darknet websites

  • Odkaz Komentáře Nikegaumn sobota, 16 listopad 2024 05:16 napsal(a) Nikegaumn

    dark web links darknet market dark web search engines https://darknetmarketstore.com/ - darknet market

Zanechat komentář

Make sure you enter all the required information, indicated by an asterisk (*). HTML code is not allowed.

zpátky nahoru

O nás

Jsme firma se silným technickým zázemím. Disponujeme zkušeným senior týmem. Naše znalosti nám dovolují vstupovat do velkých společností i nadnárodních korporací. Spolupracujeme s leadery produktů IT technologií. Věnujeme se i zabezpečení na bázi IDS/IPS systémů. Certifikace je samozřejmostí.

Search