IPsec без L2. TP со strong. Swan / Хабрахабрдостаточно сильный лебедь. Если вы когда- либо искали VPN, который будет работать на десктопах, мобильных устройствах и роутерах без установки дополнительного ПО и перепрошивки роутера, вы, вероятно, выбирали между PPTP и L2. TP+IPsec. У протокола PPTP имеются проблемы с безопасностью и прохождением через брандмауеры и NAT, так что в 2. L2. TP излишне, т. If you have any login problem please contact helpdesk us at Phone : 888-555-777 С Убрать пробелы разумеется. Конечно делал, все просто. Но для реализации потребуется iproute2, в Ubuntu 10.04 он, насколько я помню, имеется по умолчанию. L2 VPN, по моему мнению, для обычного удаленного доступа не нужен практически никогда. Удивительно, что в интернете не так- то просто можно найти информацию о настройке чего- то помимо L2. TP+IPsec в транспортном режиме, учитывая, что это обширный стек протоколов, который можно конфигурировать буквально как душе угодно, поэтому я попытаюсь устранить такое несовершенство мира. Небольшое введение в мир IPsec. Вообще говоря, не совсем правильно называть IPsec VPN. IPsec не предназначен для построения «виртуальных частных сетей», а создан для шифрования или защиты от подмены передаваемых по IP данных. Это специальный слой поверх IP, который, в зависимости от режима и настроек, работает по- разному. В отличие от привычного VPN, который создает новый интерфейс в системе, на который вы, как это чаще всего бывает, назначаете IP- подсеть из диапазона частных адресов (т. Подписывает не только данные пакета, но и все заголовки, кроме изменяемых полей (To. S, TTL, чексумма). Encapsulating Security Payload (ESP) — протокол, обеспечивающий аутентификацию, целостность и конфиденциальность. Security Association (SA) — параметр с настройками шифрования канала. Internet Key Exchange (IKE и IKEv. SA. AH и ESP — транспортные протоколы, инкапсулируемые прямо в IP, имеющие собственные значение для поля Protocol в IP- заголовке. В современном мире, где NAT стоит за NAT у NAT с NAT'ом, следует использовать что- то более привычное, поэтому сейчас повсеместно используется инкапсуляция ESP- пакетов в UDP. AH не поддерживает работу через NAT. Сам IPsec поддерживает работу в двух режимах: Транспортный режим. Подписывает заголовки и данные (если AH) или подписывает и шифрует данные (если ESP) пакета. Не скрывает IP- адрес получателя пакета, если он маршрутизируется. Этот режим используется для связки L2. TP+IPsec. Туннельный режим. Волшебная команда звучит так: yum install fuse fuse-ntfs-3g dkms dkms-fuse но скорее всего репозитарий RPMForge не установлен и не подключен, поэтому: 1.Подписывает (если AH) и еще шифрует (если ESP) весь пакет. Поддерживается двухэтапная аутентификация. Все современные десктопные ОС (Windows Vista/7/8/8. OS X, Linux), мобильные устройства (Android, i. OS, Windows Phone, Blackberry) и некоторые роутеры поддерживают VPN с использованием IPsec ESP в туннельном режиме и его настройкой через протокол Internet Key Exchange (IKE) версии 1 или 2, а значит IPsec мы именно так и будем настраивать. Кстати, писать правильно IPsec, но Cisco IPSec. IPsec в Linux. Сам IPsec (AH/ESP, SA) работает в ядре, поэтому нам нужен IKE- демон для передачи настроек подключающимся клиентам. Их довольно много, но полноценных и активных на данный момент всего два: strong. Swan и libreswan. Вторым я не пользовался, ничего сказать о нем не могу, зато первый — прекрасный и удивительный, к тому же, это единственный демон, у которого есть своя userspace- реализация IPsec, поэтому его можно использовать в контейнерах Open. VZ со старым, как динозавры, ядром 2. IPsec. Я рекомендую использовать версию не ниже 5. Утилита потребуется, по большому счету, только для вывода какой- то информации или статистики, она не обязательна для настройки и можно обойтись только ipsec, но в статье будет использоваться только она. Скрытый текст. Жизнь со swanctl: Жизнь без swanctl. Нам могут потребоваться некоторые модули, которых может не быть в стандартной поставке: xauth- noauth — поддельный аутентификатор, позволяет вводить любой логин и пароль. Нужен для i. Phone и i. Pad при аутентификации только по ключам, т. Используем ключи, никаких PSK! С ним вы можете использовать одну связку ключей для двух протоколов! Valdik. SS/easy- rsa- ipsec. Easy- RSA чрезвычайно простой, поддерживать PKI- инфраструктуру с ним одно удовольствие! Итак, инициализируем PKI и создаем CA, серверный и клиентский ключи. Важно, чтобы название серверного ключа совпадало с FQDN (доменом, проще говоря) вашего сервера! Я добавлял параметр nopass на каждом шагу, чтобы ключи не были защищены паролем (его можно установить позже в любое время). Теперь нам необходимо скопировать их в нужные директории внутри /etc/ipsec. Swan нашел их: # cp pki/ca. Переходим к настройке strong. Swan! В секции config setup два закомментированных параметра: strictcrlpolicy = yes будет требовать неистекший лист отзывов для проведения аутентификации клиента, а uniqueids = no позволяет подключаться нескольким клиентам с одним сертификатом одновременно. Секция с названием %default описывает подключение по умолчанию, от которого будут наследоваться другие подключения. Здесь устанавливаются следующие параметры: dpdaction=clear включает механизм Dead Peer Detection (DPD) и указывает, что нужно забывать о клиенте, если он не отзывался дольше таймаутаdpddelay=3. DPDdpdtimeout=3. 00s — таймаут для DPDfragmentation=yes — включение внутренней фрагментации пакетов. Позволяет использовать IPsec с провайдерами, у которых сломана IP- фрагментация пакетов (привет, мобильный МТС!)rekey=no — выключение инициации смены ключей со стороны сервера. Windows это не любит. IKE (т. е. Нужно для сломанного IKEv. OS X El Capitanleftauth/rightauth=pubkey — используем аутентификацию по ключамleftsubnet — подсети, которые мы отправляем клиенту для маршрутизации (весь IPv. IPv. 6- интернет). Уберите IPv. 6, если не используете его. IP- адресов, из которого выдаем адрес клиенту. Уберите IPv. 6, если не используете его. IP- адреса DNS- серверов. Давайте разберемся с ciphersuites в ike и esp. Здесь перечислены методы шифрования в порядке убывания приоритета, и их так много из- за того, что некоторые из них могут быть недоступны на каких- то устройствах, например, мобильных. Первым делом идут так называемые AEAD- алгоритмы, т. Это самые быстрые шифры, которые доступны в IPsec. Хоть это и AEAD- режим, в ike должны быть алгоритмы хеширования для процесса хендшейка. Затем идет привычный AES- CBC с группами Диффи- Хеллмана. Клиентам, которые не поддерживают PFS, мы не позволим подключиться. Если у вас нет модуля xauth- noauth для соединения ikev. XAUTH . Перезапускаем strong. Swan. Если все верно, вы увидите следующий вывод команды swanctl - L$ swanctl - L. IKEv. 2. local public key authentication. CN=uk. 1. pvpn. pw. CN=uk. 1. pvpn. pw. TUNNEL. local: 0. IKEv. 1. local public key authentication. CN=uk. 1. pvpn. pw. CN=uk. 1. pvpn. pw. XAuth authentication. TUNNEL. local: 0. IKEv. 2. local public key authentication. CN=uk. 1. pvpn. pw. CN=uk. 1. pvpn. pw. EAP authentication. TUNNEL. local: 0. Проблемы MTUИз- за особенностей и ошибок в реализации разных IPsec- клиентов, MTU внутри туннеля нельзя угадать заранее, а на Android вообще устанавливается MTU 1. Чтобы нивелировать этот недостаток, достаточно изменять параметр TCP MSS в момент установки TCP- соединения на стороне сервера. Будем использовать значение 1. IPv. 4 и 1. 34. 0 для IPv. I FORWARD - p tcp - m policy - -pol ipsec - -dir in - -syn - m tcpmss - -mss 1. TCPMSS - -set- mss 1. I FORWARD - p tcp - m policy - -pol ipsec - -dir out - -syn - m tcpmss - -mss 1. TCPMSS - -set- mss 1. I FORWARD - p tcp - m policy - -pol ipsec - -dir in - -syn - m tcpmss - -mss 1. TCPMSS - -set- mss 1. I FORWARD - p tcp - m policy - -pol ipsec - -dir out - -syn - m tcpmss - -mss 1. TCPMSS - -set- mss 1. На этом настройка сервера закончена. Не забудьте настроить NAT, если вам он нужен! Настройка клиентов. Алгоритм настройки клиентов в общих чертах заключается в импорте сертификатов из файла *. IPsec PKI, IPsec XAUTH RSA или IKEv. Внимание! Нужно вводить именно тот адрес сервера, который вы вводили при создании серверного ключа. Подключиться по другому домену или просто по IP- адресу, если сертификат был сгенерирован на домен, не получится! Windows. Windows 7, 8, 8. IKEv. 2)Установка сертификатов. Создание соединения. Подключение. Windows Vista (IKE)IKE на Windows Vista. OS X и i. OSНастройка подключения на i. OS и OS XAndroid. Вы можете использовать как IPsec- клиент Android и подключаться по протоколу IKE, так и клиент strong. Swan и использовать IKEv. Клиент strong. Swan работает стабильнее и надежно переподключает в случае потери соединения. Импортируйте сертификат либо через файловый менеджер, либо используя пункт «Установка с SD- карты» в разделе «Безопасность». Перейдите в настройки VPN, создайте новое подключение с типом «IPSec Xauth RSA», в поле «Адрес сервера» впишите, собственно, адрес сервера, в поле «Сертификат пользователя IPSec» и «Сертификат ЦС IPSec» укажите сертификат «client. Нажмите на соединение, введите любые логин и пароль и попробуйте подключиться. Заключение. IPsec, по моему мнению, является замечательной альтернативой Open. VPN, который любят многие администраторы. Почему большинство VPN- провайдеров все еще используют L2. TP+IPsec для меня остается загадкой, т. Я использую strong. Swan на своем сервисе уже около полугода в режиме закрытого тестирования и он оставил о себе исключительно положительные впечатления.
0 Comments
Leave a Reply. |
Details
AuthorWrite something about yourself. No need to be fancy, just an overview. Archives
July 2017
Categories |