IPsec strongSwan no Debian Squeeze - Vídeo aula de configuração

Publicado por Diego Fonseca Elcain em 03/10/2012

[ Hits: 18.780 ]

0 0

Denuncie Favoritos Indicar Impressora

IPsec strongSwan no Debian Squeeze - Vídeo aula de configuração

Nesta videoaula, aprenderemos como configurar o IPsec strongSwan no Debian Squeeze:

Configuração:

# apt-get install strongswan ntpdate
# ntpdate a.ntp.br

Configurar o OpenSSL

Abra o arquivo /etc/ssl/openssl.conf, e edite as seguintes linhas:

dir = /etc/ipsec.d
certificate = $dir/cacerts/cacert.pem
private_key = $dir/private/cakey.pem

Criar os arquivos "index.txt" e "serial":

# cd /etc/ipsec.d
# touch index.txt
# touch serial
# echo 01 > serial

Criar uma autoridade certificadora CA tipo RSA de 2048 bits padrão x509, com 4 anos de duração:

# openssl req -x509 -days 1460 -newkey rsa:2048 -keyout private/cakey.pem -out cacerts/cacert.pem

Preenchimento das informações do CA:

Country Name (2 letter code) [AU]:br
State or Province Name (full name) [Some-State]:go
Locality Name (eg, city) []:goiania
Organization Name (eg, company) [Internet Widgits Pty Ltd]:cuidadodigital
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:Autoridade Certificadora
Email Address []:autoridade@cuidadodigital.com.br

Preenchimento das informações do Servidor SOL (Matriz):

# openssl req -newkey rsa:1024 -keyout private/servidorkey.pem -out reqs/servidorkey.pem

Country Name (2 letter code) [AU]:br
State or Province Name (full name) [Some-State]:go
Locality Name (eg, city) []:goiania
Organization Name (eg, company) [Internet Widgits Pty Ltd]:cuidadodigital
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:servidor
Email Address []:servidor@cuidadodigital.com.br

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Preenchimento das informações do Servidor LUA (Filial):

# openssl req -newkey rsa:1024 -keyout private/clientekey.pem -out reqs/clientekey.pem

Country Name (2 letter code) [AU]:br
State or Province Name (full name) [Some-State]:go
Locality Name (eg, city) []:goiania
Organization Name (eg, company) [Internet Widgits Pty Ltd]:cuidadodigital
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:cliente
Email Address []:cliente@cuidadodigital.com.br

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Fazendo assinaturas das chaves criadas junto com o CA criado anteriormente:

# openssl ca -in reqs/servidorkey.pem -days 730 -out certs/servidorcert.pem # openssl ca -in reqs/clientekey.pem -days 730 -out certs/clientecert.pem

Após a criação de todos os certificados, transferir as chaves públicas, privadas e CA para o cliente. Utilize o SCP ou outro método de preferência.

Configuração do Servidor SOL

# sol

/etc/ipsec.conf
config setup
charondebug="ike 2, knl 3, cfg 0"
crlcheckinterval=180
strictcrlpolicy=no
plutostart=no

conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyingtries=1
keyexchange=ikev2
mobike=no

conn servidor
left=192.168.32.132
leftsubnet=192.168.100.0/24
leftcert=servidorCert.pem
right=192.168.32.133
rightsubnet=192.168.200.0/24
rightid="C=br, ST=go, O=cuidadodigital, CN=cliente, E=diego@cuidadodigital.com.br"
auto=add

/etc/ipsec.secretes
: RSA cliente.pem "1234"
: RSA servidor.pem "1234"

Configuração do Servidor LUA

# lua

/etc/ipsec.conf
config setup
charondebug="ike 2, knl 3, cfg 0"
crlcheckinterval=180
strictcrlpolicy=no
plutostart=no

conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyingtries=1
keyexchange=ikev2
mobike=no

conn servidor
left=192.168.32.133
leftsubnet=192.168.200.0/24
leftcert=clienteCert.pem
right=192.168.32.132
rightsubnet=192.168.100.0/24
rightid="C=br, ST=go, O=cuidadodigital, CN=servidor, E=diego@cuidadodigital.com.br"
auto=add

/etc/ipsec.secrets
: RSA cliente.pem "1234"
: RSA servidor.pem "1234"

Dica previamente publicada em: