Openswan

Instalacja i konfiguracja

Adrian Jeycki

Rozwizania VPN
PPTP, PoPToP tinc ppp over ssh VTun Rozwizania sprzetowe SSL/VPN Openswan ( implementacja ipsec)

Openswan - wstp
Do uruchomienia vpn z uyciem openswan potrzebujemy: Dwie maszyny dziaajce pod kontrol systemu linux, mog by stacje robocze lub bramy w zalenoci od potrzeb. Openswan oraz ipsec-tools Maszyny powinny znajdowa si za tym samym NAT'em lub mie zewntrzne adresy ip oraz nie posiada po drodze firewalla

Openswan - instalacja
Instalacja odbywa si poprzez polecenie:
apt-get install openswan ipsec-tools

Openswan - konfiguracja
Podstawowa czynno generowanie glucza RSA
ipsec newhostkey --verbose --bits 2048 --hostname lab1 -output /etc/ipsec.secrets

Dopisanie klucza do pliku konfiguracyjnego

ipsec showhostkey --right >>/etc/ipsec.conf

Openswan konfiguracja A
$ vim /etc/ipsec.conf left=85.14.95.1 #adres serwera A # leftsubnet=10.0.0.0/16 ta linie wykorzystujemy w przypadku czenia dwch bram, w przypadku dwch hostw jest zbdna leftid=@lab1 #nazwa serwera A leftrsasigkey=(klucz publiczny serwera A, dokleilismy go na koncu pliku) right=94.23.59.177 # rightsubnet=10.1.0.0/16 jak wczesniej rightid=@lab2 rightrsasigkey=(klucz publiczny B) auto=add #po przetestowaniu ustawie zostanie zmieniona na start config setup interfaces=%defaultroute #powysza opcja nie funkcjonuje w nowym debianie nat_traversal=no #transmisja przez nat protostack=netkey

conn swan #nazwa jest dowolna

auth=esp authby=rsasig pfs=yes

Openswan konfiguracja cd.

Kopiowanie konfiguracji na drug maszyn
scp /etc/ipsec.conf root@lab2:/etc/ipsec.conf

Dopisanie klucza do pliku konfiguracyjnego

ipsec showhostkey - -left >>/etc/ipsec.conf

Kopiowanie konfiguracji z powrotem

scp /etc/ipsec.conf root@lab1:/etc/ipsec.conf

Openswan konfiguracja B
$ vim /etc/ipsec.conf left=94.23.59.177 # leftsubnet=10.1.0.0/16 config setup interfaces=%defaultroute #powysza opcja nie funkcjonuje w nowym debianie nat_traversal=no #transmisja przez nat protostack=netkey leftid=lab2 leftrsasigkey=(klucz publiczny serwera B) right= 85.14.95.1 # rightsubnet=10.0.0.0/16 rightid=lab1

conn swan #nazwa jest dowolna

auth=esp authby=rsasig pfs=yes

rightrsasigkey=(klucz publiczny A)
auto=add #jw

Konfiguracja jest lustrzanym odbiciem tej na pierwszej maszynie

Openswan - uruchamianie
Uruchamianie:
service ipsec start ipsec auto --add swan ipsec auto --up swan

Openswan - weryfikacja
Weryfikacja poczenia
ip xfrm state

Zmieniam w plikach ipsec.conf auto=add na auto=start, poczenie uruchomi wraz ze startem openswan Inne informacje o stanie polaczenia ipsec auto --status

Openswan dodatkowe informacje

Dla zwikszenia bezpieczestwa mona uyc silniejszych kluczy RSA lub certyfikatu X.509 W przypadku gdy nie potrzebujemy silnych zabezpiecze moemy wykorzysta klucz PSK Praca z NAT'em bywa uciliwa Pakiety openswan s enkapsulowane aby nie zostay uszkodzone przez NAT. W przypadku ruchu za natem openswan nasuchuje ike na standardowym porcie 500 (udp) oraz oczekuje esp na porcie 4500 (udp) ike internet key exchange esp encapsulation security payload