OpenSWAN
Z wiki linux-user
| Linia 20: | Linia 20: | ||
yum install openswan* | yum install openswan* | ||
co spowoduje zainstalowanie pakietu '''OpenSWAN'''. Od teraz mamy już wszystko co potrzeba do przystąpienia do konfiguracji bezpiecznego kanału. | co spowoduje zainstalowanie pakietu '''OpenSWAN'''. Od teraz mamy już wszystko co potrzeba do przystąpienia do konfiguracji bezpiecznego kanału. | ||
| + | |||
| + | === Konfiguracja === | ||
| + | Przed przystąpieniem do konfiguracji musimy ustalić co tak na prawdę chcemy osiągnąć. Mamy wiele możliwości, w tym miejscu postaram się przedstawić jeden z nich tzn połączenie dwóch sieci w jedną. W przypadku gdy mamy dwa odziały jednej firmy w różnych miejscach takie działanie będzie jak najbardziej uzasadnione. Przyjmuję następujące dane: | ||
| + | |||
| + | '''oddział A''' | ||
| + | serwer linux | ||
| + | ip zew 81.192.0.186 | ||
| + | lokalna sieć 10.0.0.0/16 | ||
| + | '''oddział B''' | ||
| + | serwer linux | ||
| + | ip zew 81.192.0.185 | ||
| + | lokalna sieć 10.1.0.0/16 | ||
| + | Tworzymy/edytujemy plik ''/etc/ipsec.conf'', tak aby wyglądał następująco na serwerze A | ||
| + | |||
| + | '''serwer A''' | ||
| + | vim /etc/ipsec.conf | ||
| + | version 2.0 # conforms to second version of ipsec.conf specification | ||
| + | config setup | ||
| + | interfaces=%defaultroute | ||
| + | forwardcontrol=yes | ||
| + | rp_filter=0 | ||
| + | nat_traversal=no | ||
| + | conn linux-to-linux | ||
| + | auth=esp | ||
| + | authby=rsasig | ||
| + | pfs=yes | ||
| + | left=81.192.0.186 | ||
| + | leftsubnet=10.0.0.0/16 | ||
| + | leftid=81.192.0.186 | ||
| + | leftrsasigkey=(klucz publiczny serwera A) | ||
| + | right=81.192.0.185 | ||
| + | rightsubnet=10.1.0.0/16 | ||
| + | rightid=81.192.0.185 | ||
| + | rightrsasigkey=(klucz publiczny B) | ||
| + | auto=add | ||
| + | Taką samą konfigurację tworzymy na serwerze B odpowiednio zamieniając adresy IP. | ||
| + | |||
| + | '''serwer B''' | ||
| + | vim /etc/ipsec.conf | ||
| + | version 2.0 # conforms to second version of ipsec.conf specification | ||
| + | config setup | ||
| + | interfaces=%defaultroute | ||
| + | forwardcontrol=yes | ||
| + | rp_filter=0 | ||
| + | nat_traversal=no | ||
| + | conn linux-to-linux | ||
| + | auth=esp | ||
| + | authby=rsasig | ||
| + | pfs=yes | ||
| + | left=81.192.0.185 | ||
| + | leftsubnet=10.1.0.0/16 | ||
| + | leftid=81.192.0.185 | ||
| + | leftrsasigkey=(klucz publiczny serwera B) | ||
| + | right=81.192.0.186 | ||
| + | rightsubnet=10.0.0.0/16 | ||
| + | rightid=81.192.0.186 | ||
| + | rightrsasigkey=(klucz publiczny A) | ||
| + | auto=add | ||
| + | ==== znaczenie opcji ==== | ||
| + | |||
| + | authby=rsasig uwierzytelnianie za pomocą RSA | ||
| + | left=81.192.0.186 lokalny adres rutera serwera A | ||
| + | leftsubnet=10.0.0.0/16 sieć LAN za ruterem serwera A | ||
| + | leftrsasigkey=O8wq3… klucz publiczny serwera A | ||
| + | right=81.192.0.185 ip bramy serwera B | ||
| + | rightsubnet=10.1.0.0/16 sieć LAN za serwerem B | ||
| + | rightrsasigkey=8qw9Hwdf… klucz publiczny serwera B | ||
