IPSEC डेमॉन स्ट्रॉन्गस्वान का अवलोकन

परिचय

विभिन्न उपकरणों पर IPSEC स्थापित करने के बारे में हब पर बहुत सारे लेख हैं, लेकिन लिनक्स के बारे में अपेक्षाकृत कम, और स्ट्रांगस्वान को केवल एक लेख के साथ सतही रूप से प्रस्तुत किया गया है।
अपनी समीक्षा में, मैं निम्नलिखित मुद्दों को संबोधित करूंगा:

• स्ट्रांगस्वान डेमॉन का अवलोकन;
• प्रमाणपत्रों पर रिमोट एक्सेस वीपीएन कॉन्फ़िगर करें।

IKEv2 के IPSEC प्रोटोकॉल और कार्यान्वयन सुविधाओं के बारे में, आप इंटरनेट पर जानकारी पढ़ सकते हैं, उन्हें इस लेख में नहीं माना जाएगा। दानव के विवरण के बारे में सभी जानकारी strongswan.org पर देखी जा सकती है। मैंने स्ट्रोंगस्वान संस्करण 4.6.4 का उपयोग किया, लेकिन चर्चा किए गए कॉन्फ़िगरेशन के दृष्टिकोण से, बाद के संस्करणों के साथ कोई मतभेद नहीं हैं, जिसमें पांचवां भी शामिल है।
स्टैंड के लिए ऑपरेटिंग सिस्टम के रूप में, मैंने डेबियन 6.0 (2.6.32-5-686) का उपयोग किया

स्ट्रोंगस्वान डेमॉन अवलोकन

स्ट्रांगस्वान एक IPSEC डेमन है जो IKEv1 और IKEv2 का समर्थन करता है। यह वर्तमान में एक विकास उत्पाद है। स्ट्रांगस्वान स्थापित करना स्रोत या भंडार से किया जा सकता है। स्रोत से इंस्टॉलेशन स्ट्रॉन्स्वान वेबसाइट पर वर्णित है।
आदेश के साथ समस्याओं के बिना भंडार से स्थापना होती है:

apt-get install strongswan 

डिफ़ॉल्ट कॉन्फ़िगरेशन फ़ाइलों को / etc / निर्देशिका में संग्रहीत किया जाता है और निम्नलिखित नाम होते हैं:

• ipsec.conf - सामान्य रूप से IPSEC कनेक्शन मापदंडों और कनेक्शन मापदंडों को परिभाषित करता है;
• ipsec.secrets - प्रमाणपत्र और प्रमाणीकरण कुंजी के लिंक को संग्रहीत करने के लिए उपयोग किया जाता है;
• strongswan.conf - क्रिप्टोग्राफिक एल्गोरिदम और अतिरिक्त कार्यों को जोड़ने के लिए।

इसके अलावा, प्लूटो और चारोन डेमों द्वारा उपयोग किए जाने वाले प्रमाणपत्र और सीआरएल फ़ाइलों को संग्रहीत करने के लिए सॉफ़्टवेयर की स्थापना के दौरान, /etc/ipsec.d निर्देशिका बनाई जाती है, जिसमें निम्नलिखित निर्देशिकाएं होती हैं:

• निजी - RSA और ECDSA निजी कुंजियाँ हैं;
• certs - X.509 और PGP प्रमाणपत्र शामिल हैं;
• crls - निरस्त प्रमाण पत्र की एक सूची संग्रहीत करता है;
• कैसर्ट - स्टोर ने CA प्रमाणपत्रों पर भरोसा किया;
• महासागरों - हस्ताक्षरित OCSP प्रमाण पत्र शामिल हैं;
• reqs - PKCS # 10 प्रारूप में प्रमाणपत्र अनुरोध शामिल हैं।

/Etc/ipsec.secrets फ़ाइल में निम्न प्रकार की कुंजियों (पासवर्ड) की एक असीमित संख्या होती है:

• सार्वजनिक कुंजी प्रमाणपत्र के लिए पासवर्ड निर्धारित करने के लिए आरएसए;
• सार्वजनिक कुंजी प्रमाण पत्र के लिए पासवर्ड निर्धारित करने के लिए ECDS;
• पूर्व-साझा कुंजी का निर्धारण करने के लिए PSK;
• ईएपी खातों के लिए ईएपी
• NTLM खातों के लिए NTLM
• XAUTH खातों के लिए XAUTH;
• स्मार्ट कार्ड के लिए पिन।

तदनुसार, सभी प्रमाणीकरण प्रकार समर्थित हैं।
ओपेक कमांड के लिए मुख्य पैरामीटर जो स्ट्रांगस्वान कनेक्शन का प्रबंधन करता है:

• स्टार्ट | रिस्टार्ट | स्टॉप
• ipsec स्थिति; स्थिती - IPSEC कनेक्शन की स्थिति देखने के लिए;
• IPSEC कनेक्शन प्रबंधित करने के लिए ऊपर | नीचे | मार्ग |

लॉग को /var/log/auth.log और /var/log/daemon.log में संग्रहीत किया जाता है।

प्रमाणपत्रों पर रिमोट एक्सेस वीपीएन कॉन्फ़िगर करें

सर्टिफिकेट जनरेशन

प्रमाणपत्रों का सृजन सबसे महत्वपूर्ण हिस्सा है और सबसे कठिन है, यह हमारे IPSEC = सुरंग का कार्य है जो इस पर निर्भर करेगा।
OPENSSL का उपयोग करके प्रमाण पत्र बनाए गए थे।
सबसे पहले, OPENSSL कॉन्फ़िगर करें:

 nano -w /usr/lib/ssl/openssl.cnf [ CA_default ] dir = /etc/ipsec.d #  ,       certificate = $dir/cacerts/strongswanCert.pem #      CA  private_key = $dir/private/strongswanKey.pem #     CA  

नए प्रमाणपत्रों के लिए एक निर्देशिका बनाएं और OPENSSL के लिए एक सीरियल के साथ एक फ़ाइल बनाएं

 cd /etc/ipsec.d mkdir newcerts touch index.txt echo “00” > serial 

CA प्रमाणपत्र बनाएं:

 openssl req -x509 -days 3650 -newkey rsa:2048 -keyout private/strongswanKey.pem -out cacerts/strongswanCert.pem openssl pkcs12 -export -inkey private/strongswanKey.pem -in certs/strongswanCert.pem -name "host" -certfile cacerts/strongswanCert.pem -caname "strongSwan Root CA" -out CAcert.p12 /*        ( Windows 7) 

हम सर्वर के लिए प्रमाण पत्र तैयार करते हैं:

 openssl req -newkey rsa:1024 -keyout private/serverkey.pem -out reqs/serverreq.pem openssl ca -in reqs/serverreq.pem -days 730 -out certs/servercert.pem -notext 

प्रमाण पत्र बनाते समय, आपको subjectAltName = IP सेट करना होगा: खुलता है सर्वर आईडी के लिए <external_IP> पैरामीटर
हम ग्राहक के लिए एक प्रमाण पत्र तैयार करते हैं:

 openssl req -newkey rsa:1024 -keyout private/hostKey.pem -out reqs/hostReq.pem openssl ca -in reqs/hostReq.pem -days 730 -out certs/hostCert.pem -notext openssl pkcs12 -export -inkey private/hostKey.pem -in certs/hostCert.pem -name "host" -certfile cacerts/strongswanCert.pem -caname "strongSwan Root CA" -out host.p12 /*          CA  

स्ट्रांगस्वान सेटअप

फ़ाइल strongswan.conf

 charon { load = curl test-vectors aes des sha1 sha2 md5 pem pkcs1 gmp random x509 revocation hmac xcbc cmac ctr ccm gcm stroke kernel-netlink socket-default updown eap-identity } 

मुख्य विन्यास फाइलें आदि / ipsec.conf और ipsec.secrets हैं।
आइए ipsec.conf से शुरू करते हैं

 config setup /      strictpolicy=no charonstart=yes plutostart=no / ..    IKEv1 charondebug="ike 2, knl 3, cfg 0" conn %default /     IPSEC- ikelifetime=60m keylife=20m rekeymargin=3m keyingtries=1 dpdaction=restart dpdelay=30s dpdtimeout=180s conn rw /  IPSEC- left=<external_IP> /    leftsubnet=<subnet/prefix> / ,      leftid=<external_IP> leftcert=/etc/ipsec.d/certs/servercert.pem /       IKE SA leftauth=pubkey / ,         RSA right=%any /       IP rightauth=pubkey /       RSA rightsourceip=<subnet/prefix> /      IP-   auto=add /     keyexhcnage=ikev2 type=tunnel 

Ipsec.secrets फ़ाइल

 : RSA /etc/ipsec.d/private/serverkey.pem "password" 

आप लिंक पर इस फ़ाइल के निर्देशों के बारे में अधिक पढ़ सकते हैं।

Win7 और आयात प्रमाणपत्र के लिए IPSEC कनेक्टिविटी कॉन्फ़िगर करें।

फिर आप क्लाइंट के साथ कनेक्ट कर सकते हैं और ipsec स्टेटस कमांड का उपयोग करके कनेक्शन स्थिति की जांच कर सकते हैं और लॉग को देख सकते हैं, ठीक है, एक वीपीएन कनेक्शन सफलतापूर्वक विंडोज में जुड़ा होना चाहिए और पिंग चलेगा।

निष्कर्ष

अपने लेख में, मैंने स्ट्रांगस्वान डेमॉन का संक्षिप्त विवरण दिया और ग्राहकों को जोड़ने के लिए प्रमाणपत्र पर IPSEC IKEv2 को कॉन्फ़िगर करने का एक उदाहरण दिया (विंडोज 7)। स्ट्रॉन्गस्वान के पास एंड्रॉइड के लिए अपना क्लाइंट भी है, जो निर्दिष्ट सेटिंग्स के साथ भी काम करेगा, मुख्य बात इसके लिए एक प्रमाण पत्र बनाना है। जैसा कि आप मेरे द्वारा प्रस्तावित कॉन्फ़िगरेशन से देख सकते हैं, यह उस से कुछ अलग है जो स्ट्रॉंग्सन स्वयं अपने उदाहरणों में प्रदान करता है, और प्रमाणपत्र पीढ़ी पर बहुत ध्यान दिया जाता है।
इसके अलावा, साइट-टू-साइट IPSEC और रिमोट एक्सेस काम प्रमाणीकरण प्रोटोकॉल MSCHAPv2-EAP के साथ-साथ IPSEC (IKEv1) पर L2TP का उपयोग करके ठीक काम करता है, यदि रुचि हो, तो मैं आपको बता सकता हूं कि उन्हें कैसे कॉन्फ़िगर किया जाए।