IPsec strongSwan no Debian Squeeze - Vídeo aula de configuração

Publicado por Diego Fonseca Elcain em 03/10/2012

[ Hits: 16.354 ]

 


IPsec strongSwan no Debian Squeeze - Vídeo aula de configuração



Nesta videoaula, aprenderemos como configurar o IPsec strongSwan no Debian Squeeze:

Configuração:

# apt-get install strongswan ntpdate
# ntpdate a.ntp.br


Configurar o OpenSSL

Abra o arquivo /etc/ssl/openssl.conf, e edite as seguintes linhas:

dir = /etc/ipsec.d
certificate = $dir/cacerts/cacert.pem
private_key = $dir/private/cakey.pem


Criar os arquivos "index.txt" e "serial":

# cd /etc/ipsec.d
# touch index.txt
# touch serial
# echo 01 > serial


Criar uma autoridade certificadora CA tipo RSA de 2048 bits padrão x509, com 4 anos de duração:

# openssl req -x509 -days 1460 -newkey rsa:2048 -keyout private/cakey.pem -out cacerts/cacert.pem

Preenchimento das informações do CA:

Country Name (2 letter code) [AU]:br
State or Province Name (full name) [Some-State]:go
Locality Name (eg, city) []:goiania
Organization Name (eg, company) [Internet Widgits Pty Ltd]:cuidadodigital
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:Autoridade Certificadora
Email Address []:autoridade@cuidadodigital.com.br


Preenchimento das informações do Servidor SOL (Matriz):

# openssl req -newkey rsa:1024 -keyout private/servidorkey.pem -out reqs/servidorkey.pem

Country Name (2 letter code) [AU]:br
State or Province Name (full name) [Some-State]:go
Locality Name (eg, city) []:goiania
Organization Name (eg, company) [Internet Widgits Pty Ltd]:cuidadodigital
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:servidor
Email Address []:servidor@cuidadodigital.com.br

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:


Preenchimento das informações do Servidor LUA (Filial):

# openssl req -newkey rsa:1024 -keyout private/clientekey.pem -out reqs/clientekey.pem

Country Name (2 letter code) [AU]:br
State or Province Name (full name) [Some-State]:go
Locality Name (eg, city) []:goiania
Organization Name (eg, company) [Internet Widgits Pty Ltd]:cuidadodigital
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:cliente
Email Address []:cliente@cuidadodigital.com.br

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:


Fazendo assinaturas das chaves criadas junto com o CA criado anteriormente:

# openssl ca -in reqs/servidorkey.pem -days 730 -out certs/servidorcert.pem # openssl ca -in reqs/clientekey.pem -days 730 -out certs/clientecert.pem

Após a criação de todos os certificados, transferir as chaves públicas, privadas e CA para o cliente. Utilize o SCP ou outro método de preferência.

Configuração do Servidor SOL

# sol

/etc/ipsec.conf
config setup
charondebug="ike 2, knl 3, cfg 0"
crlcheckinterval=180
strictcrlpolicy=no
plutostart=no

conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyingtries=1
keyexchange=ikev2
mobike=no

conn servidor
left=192.168.32.132
leftsubnet=192.168.100.0/24
leftcert=servidorCert.pem
right=192.168.32.133
rightsubnet=192.168.200.0/24
rightid="C=br, ST=go, O=cuidadodigital, CN=cliente, E=diego@cuidadodigital.com.br"
auto=add

/etc/ipsec.secretes
: RSA cliente.pem "1234"
: RSA servidor.pem "1234"


Configuração do Servidor LUA

# lua

/etc/ipsec.conf
config setup
charondebug="ike 2, knl 3, cfg 0"
crlcheckinterval=180
strictcrlpolicy=no
plutostart=no

conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyingtries=1
keyexchange=ikev2
mobike=no

conn servidor
left=192.168.32.133
leftsubnet=192.168.200.0/24
leftcert=clienteCert.pem
right=192.168.32.132
rightsubnet=192.168.100.0/24
rightid="C=br, ST=go, O=cuidadodigital, CN=servidor, E=diego@cuidadodigital.com.br"
auto=add

/etc/ipsec.secrets
: RSA cliente.pem "1234"
: RSA servidor.pem "1234"


Dica previamente publicada em:

Outras dicas deste autor
Nenhuma dica encontrada.
Leitura recomendada

Melhorando a conexão da internet no Linux

Resumo LPI 102: Tópico 105 - Shells, Scripts e Administração de Dados

Instalando DHCP/Squid/Sarg no Ubuntu

Erro do Grub ao clonar servidor Linux com ACRONIS

Sabayon Linux: instalando duas versões de pacotes

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts