Virtual Tunnel Interface
Zpracoval "kapka"
Virtual Tunnel Interface IPsec (VTI) je směrovatelný typ virtuálního rozhraní pro ukončení tunelů IPsec a poskytuje jednoduchý způsob, jak vytvořit zabezpečení mezi lokalitami a vytvořit překryvnou síť. Virtual Tunnel Interface IPsec zlepšují a zjednodušují konfiguraci protokolu IPsec pomocí tunelů VPN (Virtual Private Network).
ab04: Rocky Linux 8.7 (Green Obsidian)
Libreswan
Amerika
ab05: Rocky Linux 8.7 (Green Obsidian)
Libreswan
Singapore
V tomto příkladě si ukážeme VTI připojení mezi dvěma hosty “ab04” a “ab05”.
Instalování balíčku `libreswan` na obou hostech a následné spuštění IPsec:
dnf install libreswan; |
Pro autorizaci budeme v tomto příkladě používat PSK, tudíž si ho vygenerujeme pomocí `openssl` (samozřejmě nemusí být vygenerován, ale pro větší bezpečnost je to lepší):
openssl rand -base64 48 |
Vygeneruje se string např: b64-stringvygenerovanypomociopenssl, který následně vložíme do souboru ipsec.secrets na obou hostech, který se nachází v /etc/ipsec.secrets.
1.2.3.4 - Source IP
5.6.7.8 - Destination IP
Musíme myslet na správný formát:
# /etc/ipsec.secrets |
Nyní si vytvoříme konfigurační soubor v /etc/ipsec.d/vtitunnel-vti01.conf, ve kterém nakonfigurujeme náš VTI tunnel:
@ab04 # interní IP adresa @ab05 |
# /etc/ipsec.d/vtitunnel-vti01.conf conn vtiab05 # interní IP adresa |
Jakmile máme hotovou konfiguraci restartujeme IPsec na obou hostech, pomocí:
ipsec restart |
Poté se ujistěte, jestli se připojení načetlo na obou hostech:
ipsec auto --add vtiab04 ipsec auto --add vtiab05 |
Následně zapněte tunnel na obou hostech:
ipsec auto --up vtiab04 ipsec auto --up vtiab05 |
Pokud vše proběhlo v pořádku, měli byste vidět něco jako:
# ipsec auto --up vtiab04 |
na vtiab05 to samé.
Ověříme si, jestli všechno funguje tím, že si pingneme z “ab04” na “ab05” pomocí interní sítě:
@ab04 |
Jakmile pakety projdou, máme úspěšně vytvořený VTI tunnel mezi “ab04” a “ab05”.
