úterý, 11 duben 2023 14:21

Zpřístupnění lokální LAN (VLAN) mezi geolokality pomocí šifrovaného VTI tunelu mezi servery

Napsal(a)
Ohodnotit tuto položku
(1 Hlasovat)

Virtual Tunnel Interface

Zpracoval "kapka"

Virtual Tunnel Interface IPsec (VTI) je směrovatelný typ virtuálního rozhraní pro ukončení tunelů IPsec a poskytuje jednoduchý způsob, jak vytvořit zabezpečení mezi lokalitami a vytvořit překryvnou síť. Virtual Tunnel Interface IPsec zlepšují a zjednodušují konfiguraci protokolu IPsec pomocí tunelů VPN (Virtual Private Network).

ab04:         Rocky Linux 8.7 (Green Obsidian)

        Libreswan

        Amerika

ab05:        Rocky Linux 8.7 (Green Obsidian)

        Libreswan

        Singapore

V tomto příkladě si ukážeme VTI připojení mezi dvěma hosty “ab04” a “ab05”.

Instalování balíčku `libreswan` na obou hostech a následné spuštění IPsec:

dnf install libreswan;
ipsec start

Pro autorizaci budeme v tomto příkladě používat PSK, tudíž si ho vygenerujeme pomocí `openssl` (samozřejmě nemusí být vygenerován, ale pro větší bezpečnost je to lepší):

openssl rand -base64 48

Vygeneruje se string např: b64-stringvygenerovanypomociopenssl, který následně vložíme do souboru ipsec.secrets na obou hostech, který se nachází v /etc/ipsec.secrets.

1.2.3.4 - Source IP

5.6.7.8 - Destination IP

Musíme myslet na správný formát:

# /etc/ipsec.secrets
include /etc/ipsec.d/*.secrets

1.2.3.4 5.6.7.8 : PSK
'b64-stringvygenerovanypomociopenssl'

Nyní si vytvoříme konfigurační soubor v /etc/ipsec.d/vtitunnel-vti01.conf, ve kterém nakonfigurujeme náš VTI tunnel:

@ab04

# /etc/ipsec.d/vtitunnel-vti01.conf
conn vtiab04
   # Libreswan používá k popisu koncových bodů termíny
"left" a      "right".
   left=
1.2.3.4
   right=
5.6.7.8
   authby=secret
   leftsubnet=
0.0.0.0/0
   rightsubnet=
0.0.0.0/0
   auto=add
   # VPN založená na směrování vyžaduje označení a rozhraní
   mark=
5/0xffffffff
   vti-interface=vti01
   # nenastavovat směrování, protože nechceme posílat
0.0.0.0/0 přes tunel.
   vti-routing=no

    # interní IP adresa
   leftvti=
192.168.50.40/24

@ab05

# /etc/ipsec.d/vtitunnel-vti01.conf

conn vtiab05
   # Libreswan používá k popisu koncových bodů termíny
"left" a      "right".
   left=
5.6.7.8
   right=
1.2.3.4
   authby=secret
   leftsubnet=
0.0.0.0/0
   rightsubnet=
0.0.0.0/0
   auto=add
   # VPN založená na směrování vyžaduje označení a rozhraní
   mark=
5/0xffffffff
   vti-interface=vti01
   # nenastavovat směrování, protože nechceme posílat
0.0.0.0/0 přes tunel.
   vti-routing=no

    # interní IP adresa
   leftvti=
192.168.50.50/24

Jakmile máme hotovou konfiguraci restartujeme IPsec na obou hostech, pomocí:

ipsec restart

Poté se ujistěte, jestli se připojení načetlo na obou hostech:

ipsec auto --add vtiab04

ipsec auto --add vtiab05

Následně zapněte tunnel na obou hostech:

ipsec auto --up vtiab04

ipsec auto --up vtiab05

Pokud vše proběhlo v pořádku, měli byste vidět něco jako:

# ipsec auto --up vtiab04
002
"vtiab04" #7: initiating Child SA using IKE SA #5
188
"vtiab04" #7: sent CREATE_CHILD_SA request for new IPsec SA
004
"vtiab04" #7: established Child SA; IPsec tunnel [0.0.0.0-255.255.255.255:0-65535 0] -> [0.0.0.0-255.255.255.255:0-65535 0] {ESP=>0x46fd4964 <0x26b3df1f xfrm=AES_CTR_128-HMAC_SHA2_512_256-MODP2048 NATOA=none NATD=none DPD=passive}

na vtiab05 to samé.

Ověříme si, jestli všechno funguje tím, že si pingneme z “ab04” na “ab05” pomocí interní sítě:

@ab04

# ping 192.168.50.50
PING 192.168.50.50 (192.168.50.50) 56(84) bytes of data.
64 bytes from 192.168.50.50: icmp_seq=1 ttl=64 time=290 ms
64 bytes from 192.168.50.50: icmp_seq=2 ttl=64 time=288 ms
64 bytes from 192.168.50.50: icmp_seq=3 ttl=64 time=288 ms
64 bytes from 192.168.50.50: icmp_seq=4 ttl=64 time=288 ms

@ab05

# ping 192.168.50.40
PING 192.168.50.40 (192.168.50.40) 56(84) bytes of data.
64 bytes from 192.168.50.40: icmp_seq=1 ttl=64 time=289 ms
64 bytes from 192.168.50.40: icmp_seq=2 ttl=64 time=293 ms
64 bytes from 192.168.50.40: icmp_seq=3 ttl=64 time=288 ms
64 bytes from 192.168.50.40: icmp_seq=4 ttl=64 time=288 ms

Jakmile pakety projdou, máme úspěšně vytvořený VTI tunnel mezi “ab04” a “ab05”.

Číst 4824 krát Naposledy změněno pondělí, 08 květen 2023 16:54
Více z této kategorie: « BGP spojení pro dva routery

444 komentáře

  • Odkaz Komentáře pocket option středa, 08 květen 2024 10:26 napsal(a) pocket option

    Good post. I learn something totally new and challenging on sites I stumbleupon everyday.
    It's always useful to read through articles from other authors and use
    a little something from other websites.

  • Odkaz Komentáře консультация юриста pátek, 15 březen 2024 23:55 napsal(a) консультация юриста

    I am really enjoying the theme/design of your web site. Do you ever run into
    any web browser compatibility problems? A small number of my blog visitors have complained about my site
    not working correctly in Explorer but looks great in Chrome.
    Do you have any ideas to help fix this issue?

  • Odkaz Komentáře юридические услуги челябинск pátek, 15 březen 2024 23:52 napsal(a) юридические услуги челябинск

    Unquestionably believe that which you stated. Your favorite reason appeared to be on the web the easiest thing to
    be aware of. I say to you, I certainly get irked while people think about worries that they just do not know about.
    You managed to hit the nail upon the top and also defined out
    the whole thing without having side-effects , people
    can take a signal. Will probably be back to get more. Thanks

  • Odkaz Komentáře exness středa, 13 březen 2024 22:47 napsal(a) exness

    Hi there to every one, for the reason that I am truly eager of reading this web site's post to be updated daily.
    It contains nice material.

Zanechat komentář

Make sure you enter all the required information, indicated by an asterisk (*). HTML code is not allowed.

O nás

Jsme firma se silným technickým zázemím. Disponujeme zkušeným senior týmem. Naše znalosti nám dovolují vstupovat do velkých společností i nadnárodních korporací. Spolupracujeme s leadery produktů IT technologií. Věnujeme se i zabezpečení na bázi IDS/IPS systémů. Certifikace je samozřejmostí.