Образовательный проект «SnakeProject» Михаила Козлова

Навигация

⇒ FreeBSD and Nix ⇐

CISCO

Voice(Asterisk\Cisco)

Microsoft

Powershell

Python

SQL\T-SQL

Общая

WEB Разработка

ORACLE SQL \ JAVA

Мото

Стрельба, пневматика, оружие

Саморазвитие и психология

Настройка Site-to-Site IPSec VPN на Strongswan в Ubuntu 24

Настройка Site-to-Site IPSec VPN на Strongswan в Ubuntu 24

 

Два сервера с публичными адресами

Site A
Private IP: 192.168.1.1
Private subnet: 192.168.1.0/24
Public IP: 1.1.1.1

Site B
Private IP: 192.168.2.1
Private subnet: 192.168.2.0/24
Public IP: 2.2.2.2


На обоих серверах

# apt update && # apt upgrade -y

# nano /etc/sysctl.conf
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1
net.ipv4.conf.all.accept_redirects = 0

# sysctl -p

# apt install strongswan strongswan-pki libcharon-extra-plugins libcharon-extauth-plugins libstrongswan-extra-plugins libtss2-tcti-tabrmd0 -y

# systemctl enable strongswan-starter

# systemctl status strongswan-starter


На сервере Site-A

# head -c 24 /dev/urandom | base64
output:
v3AFfdgh4DmrPW43w1adA349rj

# cat /etc/ipsec.secrets
1.1.1.1 2.2.2.2 : PSK "v3AFfdgh4DmrPW43w1adA349rj"

# sudo ip addr add 192.168.1.1/24 dev ens3

# sudo iptables -t nat -A POSTROUTING -d 192.168.2.0/24 -j SNAT --to-source 192.168.1.255

# cat /etc/ipsec.conf
conn site-a
    auto=start
    keyexchange=ikev2
    type=tunnel
    authby=psk

    left=1.1.1.1
    leftsubnet=192.168.1.0/24

    right=2.2.2.2
    rightsubnet=192.168.2.0/24
    ike=aes256-sha256-ecp256
    esp=aes256-sha256
    ikelifetime=1h
    lifetime=24h
    keyingtries=%forever

    dpddelay=30s
    dpdtimeout=120s
    dpdaction=clear


На сервере Site-B

# cat /etc/ipsec.secrets
2.2.2.2 1.1.1.1 : PSK "v3AFfdgh4DmrPW43w1adA349rj"

# sudo ip addr add 192.168.2.1/24 dev ens3

# sudo iptables -t nat -A POSTROUTING -d 192.168.1.0/24 -j SNAT --to-source 192.168.2.255


# cat /etc/ipsec.conf
conn site-a
    auto=start
    keyexchange=ikev2
    type=tunnel
    authby=psk

    left=2.2.2.2
    leftsubnet=192.168.2.0/24

    right=1.1.1.1
    rightsubnet=192.168.1.0/24
    ike=aes256-sha256-ecp256
    esp=aes256-sha256
    ikelifetime=1h
    lifetime=24h
    keyingtries=%forever

    dpddelay=30s
    dpdtimeout=120s
    dpdaction=clear


На обоих серверах

# ipsec restart

# ipsec statusall

 

Комментарии пользователей

Эту новость ещё не комментировалиНаписать комментарий
Анонимам нельзя оставоять комментарии, зарегистрируйтесь!
Контакты Группа ВК Сборник материалов по Cisco, Asterisk, Windows Server, Python и Django, SQL и T-SQL, FreeBSD и LinuxКод обмена баннерами Видео к IT статьям на YoutubeВидео на другие темы Смотреть
Мои друзья: Советы, помощь, инструменты для сис.админа, статическая и динамическая маршрутизация, FreeBSD

© Snakeproject.ru создан в 2013 году.
При копировании материала с сайта - оставьте ссылку.
Весь материал на сайте носит ознакомительный характер,
за его использование другими людьми, автор ответственности не несет.

Рейтинг@Mail.ru
Рейтинг@Mail.ru Яндекс.Метрика





Поддержать автора и проект