Как настроить Ipsec VPN используя Libreswan

Цель IPsec в том,чтобы VPN зашифровывал трафик на сетевом уровне модели OSI, таким образом,чтобы атакующий не смог прослушать его между клиентом и сервером VPN.

До этого мы показывали Как настроить туннель ipsec в opnsense.

Также мы рассмотрели настройку VPN на Kali linux.

В этом руководстве наш фокус — LibreSwan, который является реализацией протокола IPsec для среды Unix/Linux.

LibreSwan разветвился из проекта OpenSwan IPsec, и доступен для дистрибутивов Linux.

В этом руководстве LibreSwan будет собран из исходников на Ubuntu 16.04 LTS. Инструкция сборки LibreSwan для различных дистрибутивов Linux дана в файле ReadME.

После установки LibreSwan VPN будет сконфигурирована в режиме шлюза, чтобы зашифровать трафик.

Различные примеры конфигурации LibreSwan предоставлены на веб-сайте проекта.

Как установить Libreswan

Выполните в терминале:

# apt-get -y update
# apt-get -y install libnss3-dev libnspr4-dev pkg-config libpam0g-dev libcap-ng-dev libcap-ng-utils libselinux1-dev libcurl4-nss-dev flex bison gcc make

 

Последний исходный код LibreSwan может быть загружен с веб-сайта проекта.

Извлеките сжатый файл:

 # tar -xzf libreswan-3.19.tar.gz 

Теперь выполните команду «make» , чтобы получить инструкцию по сборке:

 

Итак, если вы запустите команду make all,  система вернет вам ошибку:

fatal error: unbound.h: No suh file or directory 

Все потому, что требуется установка еще нескольких пакетов. Выполним установку зависимостей:

 # apt-get install libunbound-dev

Другая ошибка из-за отсутствия библиотеки может произойти во время компиляции LibreSwan.

 fatal error: event.h: No suh file or directory

Для устранения этой ошибки установите библиотеку:

 # apt-get install libevent-dev

Установка скрипта может показать другую ошибку из-за остуствия systemd пакета на платформе Ubuntu:

 fatal error: systemd/sd-daemon.h: No suh file or directory

Для устранения этой ошибки установите библиотеку:

 # apt-get install libsystemd-dev 

Наконец, выполните ‘make all’ чтобы собрать LibreSwan.

 # make all 

Вышеупомянутая команда установит LibreSwan в системе.

Однако следующая ошибка может произойти, используя команду «ipsec start»:

 /usr/local/sbin/ipsec: certutil: Not found

Следующие команды также приведут к ошибке:

 # ipsec setup start
# ipsec initnss

Установите следующий пакет:

 # apt-get install libnss3-tools

Следующая команда иницализирует NSS крипто библиотеку для LibreSwan:

 #  ipsec initnss 

Наконец, выполните запуск ipsec:

 # ipsec setup start 

После успешной установки LibreSwan следующим шагом должна быть конфигурирация VPN на обоих VM’s.

В этом туннель установлен на примере PSK [ preshared keys] , чтобы защитить трафик шлюза.

Сторона A — ipsec.conf Конфигурационный файл

 # cat /etc/ipsec.conf 

---------------------------------------------

config setup
protostack=netkey
conn vpn

left=192.168.15.50
leftsubnet=10.12.50.0/24
right=192.168.15.5
rightsubnet=10.12.5.0/24
authby=secret
pfs=yes
rekey=yes
keyingtries=3
type=tunnel
auto=start
ike=aes256-sha1
phase2alg=aes256-sha1

ipsec.secrets
<blockquote>
192.168.15.50 192.168.15.5: PSK "12345678asdfghjk1qwe3wqA“

------------------------------------------

 

Сторона Б — ipsec.conf Конфигурационный файл

 # cat /etc/ipsec.conf 

---------------------------------------------
config setup
protostack=netkey
conn vpn

left=192.168.15.50
leftsubnet=10.12.50.0/24
right=192.168.15.5
rightsubnet=10.12.5.0/24
authby=secret
pfs=yes
rekey=yes
keyingtries=3
type=tunnel
auto=start
ike=aes256-sha1;modp2048
phase2alg=aes256-sha1
ipsec.secrets
192.168.15.5 192.168.15.50: PSK "12345678asdfghjk1qwe3wqA"
------------------------------------------

После изменений в конфигурационных файлах перезапустите ipsec на обеих сторонах

 # ipsec restart 

Сторона А:

Сторона Б:

Статус работы ipsec также можно посмотреть командой:

 # setkey -D 

 

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Как настроить Ipsec VPN используя Libreswan: 2 комментария

  • 17.09.2017 в 11:18
    Permalink

    The above command will install LibreSwan on the system. However, following error occurred while using «ipsec start» command.

    Ответ

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40