IPsec strongSwan no Debian Squeeze - Vídeo aula de configuração

Publicado por Diego Fonseca Elcain em 03/10/2012

[ Hits: 17.127 ]

 


IPsec strongSwan no Debian Squeeze - Vídeo aula de configuração



Nesta videoaula, aprenderemos como configurar o IPsec strongSwan no Debian Squeeze:

Configuração:

# apt-get install strongswan ntpdate
# ntpdate a.ntp.br


Configurar o OpenSSL

Abra o arquivo /etc/ssl/openssl.conf, e edite as seguintes linhas:

dir = /etc/ipsec.d
certificate = $dir/cacerts/cacert.pem
private_key = $dir/private/cakey.pem


Criar os arquivos "index.txt" e "serial":

# cd /etc/ipsec.d
# touch index.txt
# touch serial
# echo 01 > serial


Criar uma autoridade certificadora CA tipo RSA de 2048 bits padrão x509, com 4 anos de duração:

# openssl req -x509 -days 1460 -newkey rsa:2048 -keyout private/cakey.pem -out cacerts/cacert.pem

Preenchimento das informações do CA:

Country Name (2 letter code) [AU]:br
State or Province Name (full name) [Some-State]:go
Locality Name (eg, city) []:goiania
Organization Name (eg, company) [Internet Widgits Pty Ltd]:cuidadodigital
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:Autoridade Certificadora
Email Address []:[email protected]


Preenchimento das informações do Servidor SOL (Matriz):

# openssl req -newkey rsa:1024 -keyout private/servidorkey.pem -out reqs/servidorkey.pem

Country Name (2 letter code) [AU]:br
State or Province Name (full name) [Some-State]:go
Locality Name (eg, city) []:goiania
Organization Name (eg, company) [Internet Widgits Pty Ltd]:cuidadodigital
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:servidor
Email Address []:[email protected]

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:


Preenchimento das informações do Servidor LUA (Filial):

# openssl req -newkey rsa:1024 -keyout private/clientekey.pem -out reqs/clientekey.pem

Country Name (2 letter code) [AU]:br
State or Province Name (full name) [Some-State]:go
Locality Name (eg, city) []:goiania
Organization Name (eg, company) [Internet Widgits Pty Ltd]:cuidadodigital
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:cliente
Email Address []:[email protected]

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:


Fazendo assinaturas das chaves criadas junto com o CA criado anteriormente:

# openssl ca -in reqs/servidorkey.pem -days 730 -out certs/servidorcert.pem # openssl ca -in reqs/clientekey.pem -days 730 -out certs/clientecert.pem

Após a criação de todos os certificados, transferir as chaves públicas, privadas e CA para o cliente. Utilize o SCP ou outro método de preferência.

Configuração do Servidor SOL

# sol

/etc/ipsec.conf
config setup
charondebug="ike 2, knl 3, cfg 0"
crlcheckinterval=180
strictcrlpolicy=no
plutostart=no

conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyingtries=1
keyexchange=ikev2
mobike=no

conn servidor
left=192.168.32.132
leftsubnet=192.168.100.0/24
leftcert=servidorCert.pem
right=192.168.32.133
rightsubnet=192.168.200.0/24
rightid="C=br, ST=go, O=cuidadodigital, CN=cliente, [email protected]"
auto=add

/etc/ipsec.secretes
: RSA cliente.pem "1234"
: RSA servidor.pem "1234"


Configuração do Servidor LUA

# lua

/etc/ipsec.conf
config setup
charondebug="ike 2, knl 3, cfg 0"
crlcheckinterval=180
strictcrlpolicy=no
plutostart=no

conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyingtries=1
keyexchange=ikev2
mobike=no

conn servidor
left=192.168.32.133
leftsubnet=192.168.200.0/24
leftcert=clienteCert.pem
right=192.168.32.132
rightsubnet=192.168.100.0/24
rightid="C=br, ST=go, O=cuidadodigital, CN=servidor, [email protected]"
auto=add

/etc/ipsec.secrets
: RSA cliente.pem "1234"
: RSA servidor.pem "1234"


Dica previamente publicada em:

Outras dicas deste autor
Nenhuma dica encontrada.
Leitura recomendada

P2P completo e sem mistérios

VeryNice - Controle e gestão automática de serviços no Linux

Alta disponibilidade - HA - Channel Bonding em 5 minutos - CentOS 6.x

Wireless no Slack com placa Samsung 11Mbps Wlan PCI

Descobrindo o SO de hosts com o nmap

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts