Сделать стартовойДобавить в закладки  
Главная страничка Главная страничка
В номере:

    Выходит с 17 июля 2008 г. цена договорная

    Опрос

    конечно, он настанет в 2012 г.
    да, но не в 2012 г.
    нет, это фантастика
    а что такое конец света
    а мне пофиг - я буду уже мертв



    Календарь
    «    Февраль 2009    »
    ПнВтСрЧтПтСбВс
     1
    2345678
    9101112131415
    16171819202122
    232425262728 

    Архив новостей
    Февраль 2021 (3)
    Январь 2021 (1)
    Ноябрь 2020 (2)
    Июль 2020 (2)
    Июнь 2020 (3)
    Май 2020 (1)

    Информация
    Создание ipsec VPN-туннеля между двумя сетями
    OS, мобильные OS » Linux
    автор: dimon, опубликовано: 4 февраля 2009

    Есть две сети с серверами на CentOS. Каждый из северов имеет внутренний интерфейс для локальной сети офиса и внешний интерфейс со статичным ip-адресом и служит в качестве прокси-сервера. Необходимо создать VPN-туннель между двумя сетями.

    Cеть выглядит так:

    ( office_1 ) -- [ linux ] ~~ internet ~~ [ linux ] -- ( office_2 )


    сети и интерфейсы :

    сеть office_1 - 10.0.0.0/24
    сеть office_2 - 192.168.0.0/24

    office_1_int - 10.0.0.1/24 (внутренний интерфейс, office_1)
    office_1_ext - 84.84.84.1 (внешний интерфейс)

    office_2_ext - 84.84.84.2 (внешний интерфейс)
    office_2_int - 192.168.0.1/24 (внутренний интерфейс, office_2)

    Следующие шаги выполняем на сервере office_2:

    1. создаем /etc/sysconfig/network-scripts/ifcfg-ipsec0 на сервере office_2


    TYPE=IPSEC # тип соединения
    ONBOOT=yes # запускать при включении сервера
    IKE_METHOD=PSK # тип ключа
    SRCGW=192.168.0.1 # шлюз источника, т.е. шлюз сети office_2
    DSTGW=10.0.0.1 # шлюз получателя, т.е. шлюз сети office_1
    SRCNET=192.168.0.0/24 # сеть источника - сеть office_2
    DSTNET=10.0.0.0/9 # сеть получателя - сеть office_1
    DST=84.84.84.1 # внешний IP-адрес получателя - сети office_1



    2. Создаем /etc/sysconfig/network-scripts/keys-ipsec0 на сервере office_2


    IKE_PSK=superpass



    где superpass – ключ, одинаковый для обоих серверов

    3. Чтобы ограничить доступ к файлу keys-ipsec0, позволив читать и изменять его только пользователю root, выполните после создания файла следующее на сервере office_2
    chmod 600 /etc/sysconfig/network-scripts/keys-ipsec0

    4. Правим/создаем /etc/racoon/racoon.conf:


    # Racoon IKE daemon configuration file.
    # See 'man racoon.conf' for a description of the format and entries.

    path include "/etc/racoon";
    path pre_shared_key "/etc/racoon/psk.txt";
    path certificate "/etc/racoon/certs";

    sainfo anonymous
    {
    pfs_group 2;
    lifetime time 1 hour ;
    encryption_algorithm 3des, blowfish 448, rijndael ;
    authentication_algorithm hmac_sha1, hmac_md5 ;
    compression_algorithm deflate ;
    }



    где:
    sainfo anonymous - отмечает, что SA может автоматически инициализировать соединение с любым партнёром при совпадении учётных сведений IPsec.
    pfs_group 2 - определяет протокол обмена ключами Диффи-Хелмана, задающий алгоритм, по которому узлы IPsec устанавливают общий временный ключ сеанса для второй фазы соединения IPsec.
    lifetime time 1 hour - этот параметр задаёт срок жизни SA и может быть определяться временем или объёмом данных в байтах.
    encryption_algorithm 3des, blowfish 448, rijndael -указывает поддерживаемые алгоритмы шифрования для фазы 2.
    authentication_algorithm hmac_sha1, hmac_md5 - перечисляет поддерживаемые алгоритмы хэша для проверке подлинности. Поддерживаются режимы sha1 и md5 хэшированных кодов проверки подлинности сообщения (Hashed Message Authentication Codes, HMAC).
    compression_algorithm deflate - определяет алгоритм сжатия Deflate для поддержки сжатия IP-заголовков (IP Payload Compression, IPCOMP), что может увеличить скорость передачи IP-датаграм по медленным соединениям.

    5. Отредактируем /etc/sysctl.conf и зададим net.ipv4.ip_forward равным 1
    Чтобы изменение вступило в силу, выполним команду:
    sysctl -p /etc/sysctl.conf
    или тупо перезагрузим сервер

    6. Запускаем интерфейс ifup ipsec0



    Аналогично настраиваем сервер office_1. Только меняем везде ipsec0 на ipsec1 (что в принципе не обязательно – можно на обоих настроить ipsec0) и в конфигурационных файлах меняем везде местами ip источника и получателя.

    Проверка работоспособности – с машины офиса office_1 пингуем шлюз сети office_2, а потом какой-нибудь компьютер сети office_2. Так же пингуем в обратном направление.

    На время настройки я посоветовал бы отключить iptables на обоих серверах.

    PS: я так и не понял обязательно ли ключ прописывать в /etc/racoon/psk.txt – вроде и без него все работает.

     
    Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Чтобы Вам были доступны все функции Вам необходимо либо зарегистрироваться, либо зайти на сайт под своим именем.

    Другие новости по теме:

  • Автоматизация установки ethernet принтеров
  • Второй ip алиасом на Windows
  • Настройка "Подключения по локальной сети" через командную строку в Window ...
  • Разрешение доступа к ФТП средствами iptables
  • Пробрасывание порта средствами iptables внутрь локальной сети


  • Комментарии:

    Оставить комментарий

    #1 написал: Henry4 (3 марта 2009 21:53)
    Спасибки зи инфу, примем к сведению
    #2 написал: Gabriell (10 марта 2009 13:59)
    Ведь знать хорошо человека - знать самого себя.
    #3 написал: lol (4 марта 2010 11:41)
    Отличный сайт спасибо за инфу.......А если надо 3 офиса объединить или даже больше то как? fellow
    #4 написал: dimon (4 марта 2010 12:07)
    lol,спасибо
    если честно, то не задавался таким вопросом.

    думаю можно двумя способами:
    1. звезда - все офисы коннектятся к головному офису
    2. каждый с каждым

    минус варианта 1 - высокая нагрузка на канал головного офиса и отсутствие связи между офисами в случаи проблем на сервере головного офиса

    минус варианта 2 - увеличение нагрузки на каналы всех офисов, сложность реализации уже даже при всего 4х офисах

    PS: мы свои офисы уводим на windows - при пяти филиалах на линксе слишком трудоемкое обслуживание feel
    #5 написал: lol (4 марта 2010 13:51)
    мда ок спасибо fellow
    #6 написал: dimon (4 марта 2010 14:04)
    lol, если не сложно - напишите, плз, потом как реализуете.
    вдруг пригодится feel


     
    Информация
     
    Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.


    Поиск по сайту:


    Облако тегов
    Android, Arduino, backup, CentOS, cmd, css, div, DLE, DLE хаки, domoticz, dzvents, event, Home Assistant, Linux, log, Monster, ogf3, RDP, Template, VBS, w2k8, windows, WSH, бумага, бумажный самолетик, верстка, иструкция, Карты, кино, Навигация, оригами, программа, рецензия, рецепт, скрипт, фигуры, шаблон, Яндекс, яндекс-карты

    Показать все теги
    Реклама
    раскрутка сайта бесплатно
    Главная страница | Регистрация | Добавить новость | Новое на сайте | Статистика | Поддержка | Правила ресурса Copyright © 2005-2018 by dimon - all right reserved!
    Тираж:           экземпляров.   Дизайн, верстка by dimon