IPSEC, сокращенный IP Security, представляет собой набор протоколов, стандартов и алгоритмов для защиты трафика по ненадежной сети, такой как Интернет. IPseс поддерживается всеми дистрибутивами Linux и позволяет обезопасить данные в сети.
Два сервера подключены к интернету через статические белые адреса. На каждом из них заведены приватные сети. Разумеется, эти сети не маршрутизируются в Интернете. Наша задача прокинуть туннель. Для компьютеров в офисах в разных городах не существует никакого интернета. Они считают, что находятся в локальной сети.
Phase 2
Установка необходимых пакетов:
sudo apt install strongswan
Если произошла ошибка при установки, значит нужно просто добавить рабочий репозиторий, я использую:
deb http://http.us.debian.org/debian/ bullseye main contrib non-free
Статус службы можно посмотреть с помощью команды:
systemctl status ipsec.service
Дублируем конфигурационный файл перед тем как его редактировать:
sudo cp /etc/ipsec.conf /etc/ipsec.conf.ORIG
1) Редактируем конфигурационный файл:
sudo nano /etc/ipsec.conf
содержимое:
config setup charondebug="all" uniqueids=yes strictcrlpolicy=no conn %default type=tunnel dpddelay=30 dpdtimeout=120 dpdaction=restart # Phase 1 keyexchange=ikev2 authby=psk ike=aes256-sha2_256-modp2048! ikelifetime=86400s # Phase 2 esp=aes256-sha2_256-modp2048! lifetime=3600s auto=start #------------------------------------ conn vpnServer2 left=20.20.20.2 leftsubnet=192.168.1.0/24 right=40.40.40.2 rightsubnet=172.16.0.0/24
2) Добавляем строку для обмена Preshared keys:
sudo nano /etc/ipsec.secrets
содержимое:
20.20.20.2 40.40.40.2 : PSK '#Micros@123'
3) Запуск тунеля:
sudo ipsec start
Статус активных туннелей можно посмотреть с помощью команды:
sudo ipsec statusall
sudo ip xfrm policy
Информация про первую фазу:
sudo ip xfrm state
1) Редактируем конфигурационный файл:
sudo nano /etc/ipsec.conf
содержимое:
config setup charondebug="all" uniqueids=yes strictcrlpolicy=no conn %default type=tunnel dpddelay=30 dpdtimeout=120 dpdaction=restart # Phase 1 keyexchange=ikev2 authby=psk ike=aes256-sha2_256-modp2048! ikelifetime=86400s # Phase 2 esp=aes256-sha2_256-modp2048! lifetime=3600s auto=start #------------------------------------ conn vpnServer1 left=40.40.40.2 leftsubnet=172.16.0.0/24 right=20.20.20.2 rightsubnet=192.168.1.0/24
2) Добавляем строку для обмена Preshared keys:
sudo nano /etc/ipsec.secrets
содержимое:
40.40.40.2 20.20.20.2 : PSK '#Micros@123'
3) Запуск тунеля:
sudo ipsec start
Статус активных туннелей можно посмотреть с помощью команды:
sudo ipsec statusall
sudo ip xfrm policy
Информация про первую фазу:
sudo ip xfrm state