וטנובואבו ןאיבדב Strongswan םע IPsec ססובמ VPN רידגהל דציכ


strongSwan ב בחרנ שומישו תואלמ תונוכת ,תומרופטלפ הצוח ,חותפ דוק םושיי אוה- VPN ססובמ VPN (תיטרפ תילאוטריו תשר), ב לעופה- Linux, FreeBSD, OS X, Windows, Android ו- iOS. לש םילוקוטורפב ךמותה

.(PSK) שארמ ףתושמ חתפמ תועצמאב הז תא הז ותמאי םיתימעה ,הזמ ץוח .וירוחאמ הנשמ תשר שי החטבא רעש לכל םינווכתמ ונא רתאל רתא יפל .ןאיבדו וטנובוא יתרשב strongSwan תועצמאב רתאל רתאמ IPSec VPN ירע

.ךלש הביבסה תא רידגהל ידכ ךלש תויתימאה IP -ה תובותכב םיאבה IP -ה תא ףילחהל רוכז

(tecmint-devgateway) 1 רעש

OS 1: Debian or Ubuntu
Public IP: 10.20.20.1
Private IP: 192.168.0.101/24
Private Subnet: 192.168.0.0/24

(tecmint-prodgateway) רתאל 2 רעש

OS 2: Debian or Ubuntu
Public IP:  10.20.20.3
Private IP: 10.0.2.15/24
Private Subnet: 10.0.2.0/24

הביל תונמ תרבעה תלעפה :1 בלש

.החטבאה ירעש ינשב etc/sysctl.conf/ הרוצתה ץבוקב םימיאתמה תכרעמה ינתשמ תפסוה ידי לע תונמ תרבעה רשפאל ידכ ןיערגה תא רידגהל ךילע ,תישאר .1

$ sudo vim /etc/sysctl.conf

.(ץבוקב ףסונ עדימ ארק) גצומכ ןהיכרע תא רדגהו ןהלש הבוגתה תא לטבו תואבה תורושה תא שפח

net.ipv4.ip_forward = 1 
net.ipv6.conf.all.forwarding = 1 
net.ipv4.conf.all.accept_redirects = 0 
net.ipv4.conf.all.send_redirects = 0 

.האבה הדוקפה תלעפה ידי לע תושדחה תורדגהה תא ןעט ,ןכמ רחאל .2

$ sudo sysctl -p

.החטבאה ירעשב ןנסמה תטלוש ינפל שממ etc/ufw/before.rules/ הרוצתה ץבוקל םיאבה םיללכה תא ףיסוהל םכילע ,UFW לש שאה תמוח תוריש לעפומ םא .3

(tecmint-devgateway) 1 רעש

*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 10.0.2.0/24  -d 192.168.0.0/24 -j MASQUERADE
COMMIT

(tecmint-prodgateway) רתאל 2 רעש

*nat
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING  -s 192.168.0.0/24 -d 10.0.2.0/24 -j MASQUERADE
COMMIT

.גצומכ UFW לש שדחמ הלעפה ידי לע םישדחה םייונישה תא לחה ,שאה תמוח יללכ ופסונש רחאל .4

$ sudo ufw disable 
$ sudo ufw enable

Ubuntu -בו Debian -ב strongSwan תנקתה :2 בלש

.APT תוליבחה להנמ תועצמאב strongswan תליבח תא ןקתהו החטבאה ירעש ינשב ךלש הליבחה ןומטמ תא ןכדע .5

$ sudo apt update
$ sudo apt install strongswan 

.האבה הדוקפה תועצמאב לעפומ אוה םאהו ובצמ תא קודבל ךתורשפאב .תכרעמה לוחתא תעב יטמוטוא ןפואב ליחתהל ול רשפאיו strongswan תוריש תא ליחתי הנקתהה טפירקס ,הנקתהה םויס רחאל .6

$ sudo systemctl status strongswan.service
$ sudo systemctl is-enabled strongswan.service

החטבא ירעש לש הרוצת תעיבק :3 בלש

.etc/ipsec.conf/ הרוצתה ץבוק תועצמאב החטבאה ירעש תא רידגהל ךילע ,ןכמ רחאל .7

(tecmint-devgateway) 1 רעש

$ sudo cp /etc/ipsec.conf /etc/ipsec.conf.orig
$ sudo nano /etc/ipsec.conf 

.ץבוקב האבה הרוצתה תא קבדהו קתעה

config setup
        charondebug="all"
        uniqueids=yes
conn devgateway-to-prodgateway
        type=tunnel
        auto=start
        keyexchange=ikev2
        authby=secret
        left=10.20.20.1
        leftsubnet=192.168.0.101/24
        right=10.20.20.3
        rightsubnet=10.0.2.15/24
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!
        aggressive=no
        keyingtries=%forever
        ikelifetime=28800s
        lifetime=3600s
        dpddelay=30s
        dpdtimeout=120s
        dpdaction=restart

(tecmint-prodgateway) רתאל 2 רעש

$ sudo cp /etc/ipsec.conf /etc/ipsec.conf.orig
$ sudo cp /etc/ipsec.conf 

.ץבוקב האבה הרוצתה תא קבדהו קתעה

config setup
        charondebug="all"
        uniqueids=yes
conn prodgateway-to-devgateway
        type=tunnel
        auto=start
        keyexchange=ikev2
        authby=secret
        left=10.20.20.3
        leftsubnet=10.0.2.15/24
        right=10.20.20.1
        rightsubnet=192.168.0.101/24 
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!
        aggressive=no
        keyingtries=%forever
        ikelifetime=28800s
        lifetime=3600s
        dpddelay=30s
        dpdtimeout=120s
        dpdaction=restart

:הרוצת רטמרפ לכ לש תועמשמה הנה

    .הדוקפה תלעפה ידי לע ipsec.conf לש שיאה דומע תא ארק ,ליעל הרוצתה ירטמרפ תודוא ףסונ עדימ תלבקל

    $ man ipsec.conf
    

    תימעל תימע תומיאל PSK לש הרוצת תעיבק :4 בלש

    .האבה הדוקפה תועצמאב םיתימעה תא שמשיש חטבואמ PSK רוצ ,החטבאה ירעש ינש לש הרוצתה תעיבק רחאל .8

    $ head -c 24 /dev/urandom | base64
    

    .םירעשה ינשב etc/ipsec.secrets/ ץבוקב PSK תא ףסוה ,ןכמ רחאל .9

    $ sudo vim /etc/ipsec.secrets
    

    .האבה הרושה תא קבדהו קתעה

    ------- Site 1 Gateway (tecmint-devgateway) ------- 
    
    10.20.20.1 10.20.20.3 : PSK "qLGLTVQOfqvGLsWP75FEtLGtwN3Hu0ku6C5HItKo6ac="
    
    ------- Site 2 Gateway (tecmint-prodgateway) -------
    
    10.20.20.3  10.20.20.1 : PSK "qLGLTVQOfqvGLsWP75FEtLGtwN3Hu0ku6C5HItKo6ac="
    

    .םירוביח גיצהל ידכ הבצמ תא קודבו IPSec תינכות תא שדחמ לעפה .10

    $ sudo ipsec restart
    $ sudo ipsec status
    

    .ping תדוקפ תלעפה ידי לע החטבאה ירעשמ תויטרפה הנשמה תותשרל תשגל לוכי התאש אדו ,ףוסבל .11

    $ ping 192.168.0.101
    $ ping 10.0.2.15
    

    .גצומש יפכ IPSec תא ליחתהלו רוצעל לוכי התא ,הזמ ץוח .12

    $ sudo ipsec stop
    $ sudo ipsec start
    

    .IPSec לש הרזעה ףדב ןייע ,דועו תינדי םירוביח תאלעהל IPSec תודוקפ לע ףסונ עדימל .13

    $ ipsec --help
    

    .הטמלש בושמה ספוט תועצמאב ונילא הנפ ,ףתשל תובשחמ וא תולאש ךל שי םא .PSK תועצמאב הז תא הז תמאל ורדגוה החטבאה ירעש ינש רשאכ ,ןאיבדו וטנובוא יתרשב strongSwan תועצמאב רתאל רתאמ IPSec רתא רידגה