VPN - Настройка IKEv1 VPN с помощью Linux StrongSwan

Создан - Обновлено
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Еще есть вопросы? Отправить запрос

Важное уведомление:
Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем родном языке. Не весь текст может быть переведен точно. В случае возникновения вопросов или несоответствия точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Original Version

Виртуальная частная сеть (VPN) - это технология, с помощью которой можно получить удаленный и безопасный доступ к офисной или домашней сети через Интернет, чтобы защитить коммуникационные данные от прослушивания или перехвата хакерами.

Отказ от ответственности: Мы хотели бы сообщить, что данная настройка/программное обеспечение/приложение не входит в сферу официальной технической поддержки Zyxel. Данные настройки основаны на нашем личном опыте и являются результатом наших экспериментов. Если у вас есть вопросы по работе и настройке программного обеспечения/устройств других производителей, пожалуйста, обращайтесь в их службу поддержки.

При установлении VPN-соединения с сайтом создается защищенный туннель с возможностью шифрования трафика, сохранения целостности данных (отсутствие изменений в данных при передаче) и обеспечения связи только между клиентом и сайтом. В данном примере показано, как с помощью мастера настройки VPN создать VPN между клиентом и сайтом между ATP и Linux Ubuntu 18.04.3. В примере показано, как настроить VPN-туннель. Когда VPN-туннель настроен, доступ к офисной сети становится безопасным.



Сценарий и топология

Топология и шаги по настройке показаны ниже.

image003.png

Примечание: Все сетевые IP-адреса и маски подсетей используются в данной статье в качестве примера.
Пожалуйста, замените их на реальные сетевые IP-адреса и маски подсетей. Данный пример был протестирован на ATP800 (версия прошивки: ZLD 4.35 C0) и Linux Ubuntu (18.04.3 LTS)

Конфигурация
Настройка IPSec VPN-туннеля на ATP

Шаг 1. В ATP перейдите в раздел Quick Setup > VPN Setup Wizard, используйте мастер VPN Settings
чтобы создать правило VPN, которое можно использовать с Ubuntu. Нажмите кнопку Next (Далее).

image005.png


Шаг 2. Выберите Advanced, чтобы создать правило VPN с настраиваемыми параметрами phase1, phase2 и методом аутентификации. Нажмите кнопку Next (Далее).image007.png

Шаг 3. Введите имя правила, используемое для идентификации данного VPN-соединения (и VPN-шлюза).
Можно использовать 1-31 буквенно-цифровой символ. Это значение чувствительно к регистру.
Выберите правило Remote Access (Server Role) и выберите версию IKE IKEv1. Нажмите Next.

image009.png


Шаг 4. Выберите My Address в качестве интерфейса, подключенного к Интернету. Установите параметры Desired Negotiation, Encryption, Authentication, Key Group и SA Life Time Setting. Введите безопасный ключ Pre-Shared Key (8-32 символа), который должен совпадать с ключом Pre-Shared Key в Linux Ubuntu. Нажмите кнопку OK.

image011.jpg


Шаг 5. Перейдите к разделу Phase 2 Settings для выбора необходимых параметров инкапсуляции, шифрования, аутентификации и Perfect Forward Secrecy (PFS). В качестве локальной политики задайте диапазон IP-адресов сети, подключенной к ATP. Нажмите кнопку OK.

image013.png

Шаг 6. На этом экране отображается сводная информация о VPN-туннеле, доступная только для чтения. Нажмите кнопку сохранить.

image015.jpg

Шаг 7. Добавление пула адресов для конфигурации режима фазы 2. Перейдите в меню "КОНФИГУРАЦИЯ > Объект > Адрес", нажмите кнопку Добавить для создания объекта пула адресов

image017.png


Шаг 8. Примените пул адресов VPN к VPN-соединению фазы 2.
Перейдите в раздел "КОНФИГУРАЦИЯ > VPN > IPSec VPN > VPN Connection".image019.jpg

Установите на хост на сеть VPN туннель на на Ubuntu 18.04

Шаг 1. Установите StrongSwan

root@usg:~# apt-get install strongswan -y


Для установки и настройки соответствующих параметров необходимо иметь root-доступ.

После завершения установки вы можете проверить версию StrongSwan с помощью команды CLI "ipsec version"

root@usg:~# ipsec version

Linux strongSwan U5.6.2/K4.15.0-66-generic

Institute for Internet Technologies and Applications

University of Applied Sciences Rapperswil, Switzerland

See 'ipsec--copyright' for copyright

root@usg:~#

Шаг 2. Настройка StrongSwan на Ubuntu 18.04

Определите распределенный ключ

root@usg:~# vi /etc/ipsec.secrects

# This file holds shared secrets or RSA private keys for authentication.

# RSA private key for this host, authenticating it to any other host

# which knows the public part.

: PSK 123456789

vpnclient : XAUTH "1qaz2wsx"

Определите параметры ПОДКЛЮЧЕНИЯ

config setup

conn %default

ikelifetime=60m

keylife=20

rekeymargin=1

keyexchange=ikev1

modeconfig=pull

 #Add connections here.

conn home

left=10.214.48.60

leftid=vpnclient

laftauth=psk

leftauth2=xauth

leftsourceip=%config

leftfirewall=yes

right=10.214.48.28

rightsubnet=192.168.1.0/24

rightid=10.214.48.28

rightauth=psk

auto=add

ike=aes256-sha2_256-modp1024!

esp=aes256-sha2_256!

#Sample VPN connections

Другие полезные инструменты CLI


Установка запуска службы при загрузке

root@usg:~# systemctl enable strongswan


Перезапустить VPN

root@usg:~# ipsec restart

Stopping strongSwan IPSec...

Starting strongSwan 5.6.2 IPSec (starter)...

root@usg:~#

Проверка состояния VPN-туннеля

root@usg:~# ipsec status

Security Associations (1 up, 0 connecting):

home[1]: ESTABLISHED 13 seconds ago, 10.214.48.60[vpnclient] 10.214.48.28[10.214.48.28]

home{1}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: ceda2bbf_i d8acc423_o

home{1}: 192.168.99.17/32 === 192.168.1.0/24

root@usg:~#

Передает демону IKE команду на запуск соединения

root@usg:~# ipsec up

Дает команду демону IKE завершить соединение

root@usg:~# ipsec down

Верификация

a. Убедитесь, что IPSec VPN-туннель запущен на ATP и Linux Ubuntu.

  • Проверка состояния ATP VPN
    image051.jpg
  • Проверка состояния VPN в Ubuntu.
root@usg:~# ipsec status

Security Associations (1 up, 0 connecting):

home[1]: ESTABLISHED 54 minutes ago, 10.214.48.60[vpnclient] 10.214.48.28[10.214.48.28]

home{2}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: cc26c56a_i 6a5fb4f2_o

home{2}: 192.168.99.17/32 === 192.168.1.0/24

b. Ping до IP-адреса локальной сети ATP 192.168.1.1

root@usg:~# ipsec version

Linux strongSwan U5.6.2/K4.15.0-66-generic

Institute for Internet Technologies and Applications

University of Applied Sciences Rapperswil, Switzerland

See 'ipsec--copyright' for copyright

root@usg:~#
0

Примечание
Если VPN-туннель "хост-сеть" не может быть успешно создан, проверьте следующие элементы.

  • И ATP, и Linux Ubuntu должны использовать один и тот же ключ Pre-Shared Key, метод шифрования, аутентификации и группу ключей DH.
  • Убедитесь, что политика безопасности ATP WAN to ZyWALL разрешает IKE, AH и ESP.
  • На Ubuntu необходимо включить конфигурацию режима. Добавьте modeconfig=pull в
    /etc/ipsec.conf

Для настройки IKEv2 достаточно заглянуть на форум нашего сообщества здесь:

https://community.zyxel.com/en/discussion/10754/vpn-linux-strongswan-usg60

Статьи в этом разделе

Больше
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 3 из 3
Поделиться

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.