CentOS/RHEL 8 -ב Strongswan םע IPsec ססובמ VPN רידגהל דציכ

strongSwan תססובמ האלמו תינרדומ ,תומרופטלפ תבורמ המרופטלפ ,חותפ דוק אוה IPsec ב האלמ הכימת קפסמה סקוניל רובע- Exchange Key Exchange (ןה IKEv1 ןהו IKEv2) החטבא תויצאיצוסא תמקהל (SA) הבילה ת

וטנובואבו Debian -ב Strongswan םע IPsec ססובמ VPN רידגהל דציכ :רושק רמאמ

.הירוחאמ הנשמ תשר שי החטבא רעש לכלש השוריפ רתאל רתא לש הרדגה .(PSK) ףתושמה שארמ קזח חתפמ תועצמאב הז תא הז תמאל םיתימעל רשפאמ הז .CentOS/RHEL 8 יתרשב strongSwan תועצמאב רתאל רתא ןיב IPsec

.ךירדמה עוציב ידכ ךות תורוצתה ךלהמב ךלש תויתימאה IP -ה תובותכב שמתשהל חכשת לא

Public IP: 192.168.56.7
Private IP: 10.10.1.1/24
Private Subnet: 10.10.1.0/24

Public IP:  192.168.56.6
Private IP: 10.20.1.1/24
Private Subnet: 10.20.1.0/24

CentOS 8 -ב הביל IP תרבעה תלעפה :1 בלש

.VPN -ה ירעש ינשב etc/sysctl.conf/ הרוצתה ץבוקב הבילה לש IP תרבעה תוילנויצקנופ תלעפה ידי לע לחתה .1

# vi /etc/sysctl.conf

.ץבוקל הלא תורוש ףסוה

net.ipv4.ip_forward = 1 
net.ipv6.conf.all.forwarding = 1 
net.ipv4.conf.all.accept_redirects = 0 
net.ipv4.conf.all.send_redirects = 0 

.הציר ןמזב םישדחה הבילה ירטמרפ תניעטל האבה הדוקפה תא לעפה ,ץבוקב םייונישה תרימש רחאל .2

# sysctl -p

.החטבאה ירעש ינשב etc/sysconfig/scripts network/route-eth0/ץבוקב עובק יטטס לולסמ רוצ ,ןכמ רחאל .3

# vi /etc/sysconfig/network-scripts/route-eth0

.ץבוקב האבה הרושה תא ףסוה

#Site 1 Gateway
10.20.1.0/24  via 192.168.56.7

#Site 2 Gateway
10.10.1.0/24 via 192.168.56.6

.םישדחה םייונישה תא ליחהל ידכ תשרה להנמ תא שדחמ לעפה זאו .4

# systemctl restart NetworkManager

CentOS 8 -ב strongSwan תנקתה :2 בלש

.החטבאה ירעש ינשב strongwan תא ןיקתהל ןכמ רחאלו EPEL רגאמ תא ליעפהל ךילע ,ותוא ןיקתהל ידכ .EPEL רגאמב תקפוסמ strongswan תליבח .5

# dnf install epel-release
# dnf install strongswan

.האבה הדוקפה תא לעפה ,םירעשה ינשב תנקתומה strongswan -ה תסרג תא קודבל ידכ .6

# strongswan version

.החטבאה ירעש ינשב סוטטסה תא תמא ןכמ רחאל .תכרעמה לוחתא תעב תיטמוטוא ליחתהל ול רשפאו strongswan תוריש תא לעפה ,ןכמ רחאל .7

# systemctl start strongswan 
# systemctl enable strongswan
# systemctl status strongswan

.שומישמ אצוהש ץבש ףסות תועצמאב (ipsec וא) ענתמה תורישה תינכות (vici ףסות תועצמאב IKE daemon Charon -ה לש רוטינו הרקב ,הרוצתל שמשמה ,strongSwan 5.2.0 םע גצוהש שדח דיינו דיינ הדוקפ תרוש ילכ)

:םיפסותה ינשל הרוצת יצבק הליכמה/etc/strongswan/איה תישארה הרוצתה תיירפס .8

# ls /etc/strongswan/

:םיאבה הרוצתה יצבוקב שמתשנ ןכל .וקה קשממו strongswan הדוקפה תועצמאב לעפומה IPsec תורישה ילכב שמתשנ ,הז ךירדמ רובע

החטבא ירעש לש הרוצת תעיבק :3 בלש

.etc/strongswan/ipsec.conf strongswan/ הרוצתה ץבוק תועצמאב רתא לכ רובע החטבא ירעש לכב רוביחה יליפורפ תא רידגהל ךילע ,הז בלשב .9

# cp /etc/strongswan/ipsec.conf /etc/strongswan/ipsec.conf.orig
# vi /etc/strongswan/ipsec.conf

.ץבוקב האבה הרוצתה תא קבדהו קתעה

config setup
        charondebug="all"
        uniqueids=yes
conn ateway1-to-gateway2
        type=tunnel
        auto=start
        keyexchange=ikev2
        authby=secret
        left=192.168.56.7
        leftsubnet=10.10.1.1/24
        right=192.168.56.6
        rightsubnet=10.20.1.1/24
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!
        aggressive=no
        keyingtries=%forever
        ikelifetime=28800s
        lifetime=3600s
        dpddelay=30s
        dpdtimeout=120s
        dpdaction=restart

# cp /etc/strongswan/ipsec.conf /etc/strongswan/ipsec.conf.orig
# vi /etc/strongswan/ipsec.conf

:ץבוקב האבה הרוצתה תא קבדהו קתעה

config setup
        charondebug="all"
        uniqueids=yes
conn 2gateway-to-gateway1
        type=tunnel
        auto=start
        keyexchange=ikev2
        authby=secret
        left=192.168.56.6
        leftsubnet=10.20.1.1/24
        right=192.168.56.7
        rightsubnet=10.10.1.1/24
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!
        aggressive=no
        keyingtries=%forever
        ikelifetime=28800s
        lifetime=3600s
        dpddelay=30s
        dpdtimeout=120s
        dpdaction=restart

:ליעל הרוצתה ירטמרפמ דחא לכ הרצקב ראתנ

.ipsec.conf לש שיאה ףד תאירק ידי לע הקזחה IPsec תכרעמ-תת לש הרוצתה ירטמרפ לכ לש רואית אוצמל לכות

# man ipsec.conf

תימעל תימע תומיאל PSK לש הרוצת תעיבק :4 בלש

.ןמקלדכ תומיאל םיתימעה תא שמשיש קזח PSK רוציל ךילע ,ןכמ רחאל .10

# head -c 24 /dev/urandom | base64



.החטבאה ירעש ינשב etc/strongswan/ipsec.conf/ ץבוקב PSK -ה תא ףסוה .11

# vi /etc/strongswan/ipsec.secrets

.ץבוקב האבה הרושה תא ןזה

#Site 1 Gateway
192.168.56.7  192.168.56.6 : PSK "0GE0dIEA0IOSYS2o22wYdicj/lN4WoCL"

#Site 1 Gateway
192.168.56.6  192.168.56.7 : PSK "0GE0dIEA0IOSYS2o22wYdicj/lN4WoCL"

.םירוביחה בצמ תא קודבו strongsan תוריש תא לחתה זאו .12

# systemctl restart strongswan
# strongswan status



.ping תדוקפ תלעפה ידי לע החטבא ירעשמ תויטרפה הנשמה תותשרל תשגל לוכי התא םא קודב .13

# ping 10.20.1.1
# ping 10.10.1.1



.strongswan לש הרזעה ףדב ןייע ,דועו םירוביח ינדי ןפואב הטמל/תולעהל strongswan תודוקפ דוע דומלל ידכ ,ביבח ןורחא .14

# strongswan --help

.Swan לש קזחה םישמתשמה דועיתב ןייע ,רתוי שימגהו שדחה הרוצתה הנבמ לעו swanctl שדחה תורישה ילכ לע דוע דומלל ידכו .הטמלש בושמה ספוט תועצמאב ונילא הנפ ,תולאש לואשל וא ךיתובשחמב ונתוא ףתשל ידכ