Назад | Перейти на главную страницу

Настройте туннель ipsec vpn (сеть в сеть с IKE с предварительным ключом) на Centos 6 с помощью openswan

У меня маршрутизатор Cisco Linksys настроен как шлюз VPN (от сети к сети):

Теперь я хочу настроить ipsec VPN аналогично на Centos 6 с помощью openswan. Я искал в Интернете, но мне не повезло (есть несколько руководств, но они не похожи на мою ситуацию или устарели для ipsec-tools и centos 4). Чтение man peges для openswan вызывает у меня только головную боль (). На удаленном сайте есть какое-то устройство контрольной точки (все, что я знаю о конфигурации, - это снимок экрана с панели Linksys с уже настроенным туннелем vpn).

Я не хакер Google, но знаю, как им пользоваться, и, возможно, есть какой-нибудь учебник, который мне поможет, но я не нашел его сам.

Я уже установил openswan, но если есть лучшее программное обеспечение и решение (на Centos), я не против его использовать.

EDIT1: После прочтения MadHatter answare я начал комбинировать с разными конфигурациями ... и я потерялся ... Я думаю, что дал небольшой объем информации.

Итак, сначала скриншот от Linksys Manager VPN gatwey до шлюзового сайта:

В разделе «Настройка локальной группы»: Ip в серых полях (IP-адрес d.168.1.67) - это IP-адрес, который, как мне кажется, Linksys получает от контрольной точки на другой стороне, изменить этот параметр невозможно. Далее идет IP-адрес (e.199.1.0 / 24) в белых полях, это моя локальная сеть.

В разделе «Настройка удаленной группы»: IP-адрес a.b.c.4 - это общедоступный IP-адрес контрольной точки на дальней стороне.

В третьем разделе находятся параметры туннельного подключения ipsec.

Это второй экран, я не уверен, что он имеет значение, но я все равно его вставляю:

WAN1 ip - это то, что мне дает одна Checkpoint. LAN - это простой адрес Linksys в локальной сети.

С этими экранами и программным обеспечением Mad я пишу эту конфигурацию ipsec в /etc/ipsec.conf:

# /etc/ipsec.conf - Openswan IPsec configuration file
#
# Manual:     ipsec.conf.5
#





# Please place your own config files in /etc/ipsec.d/ ending in .conf
#
#version        2.0     # conforms to second version of ipsec.conf specification

# basic configuration
config setup
        # Debug-logging controls:  "none" for (almost) none, "all" for lots.
        # klipsdebug=none
        # plutodebug="control parsing"
#       # For Red Hat Enterprise Linux and Fedora, leave protostack=netkey
#       protostack=netkey
#       nat_traversal=yes
#       virtual_private=
        oe=off
        # Enable this if you see "failed to find any available worker"
        # nhelpers=0
#version 2.0
conn linksys-1
        # Left endpoint, subnet behind it, next hop toward right
        keyingtries=0
        left=a.b.c.4
        #leftsubnet=a.b.c.4/32 (should I put here d.168.1.67/32 ???)
        leftnexthop=%defaultroute
        # Right endpoint, subnet behind it, next hop toward left
        right=d.168.1.67
        rightsubnet=e.199.1.0/24
        type=tunnel
        authby=secret
        #auth=esp
        keylife=59m
        ikelifetime=59m
        #esp=3des-md5-96
        pfs=no
        #compress=no
        #keyexchange=ike
        auto=start
#You may put your configuration (.conf) file in the "/etc/ipsec.d/" and uncomment this.
include /etc/ipsec.d/*.conf

И секретный файл /etc/ipsec.secret

d.168.1.67 a.b.c.4: PSK "secretPSK"

Я полностью не понимаю эту конфигурацию, несмотря на усилия MadHatter.

EDIT2: журналы из / var / log / messages после запуска ipsec:

Jul  5 10:58:52 router-progr ipsec_starter[27724]: could not open include filename: '/etc/ipsec.d/*.conf' (tried  and )
Jul  5 10:58:52 router-progr ipsec_starter[27725]: could not open include filename: '/etc/ipsec.d/*.conf' (tried  and )
Jul  5 10:58:52 router-progr ipsec_setup: Starting Openswan IPsec 2.6.32...
Jul  5 10:58:52 router-progr ipsec_setup: Using KLIPS/legacy stack
Jul  5 10:58:52 router-progr kernel: padlock: VIA PadLock not detected.
Jul  5 10:58:52 router-progr kernel: padlock: VIA PadLock Hash Engine not detected.
Jul  5 10:58:52 router-progr kernel: Intel AES-NI instructions are not detected.
Jul  5 10:58:52 router-progr kernel: padlock: VIA PadLock not detected.
Jul  5 10:58:52 router-progr ipsec_setup: No KLIPS support found while requested, desperately falling back to netkey
Jul  5 10:58:52 router-progr kernel: NET: Registered protocol family 15
Jul  5 10:58:52 router-progr ipsec_setup: NETKEY support found. Use protostack=netkey in /etc/ipsec.conf to avoid attempts to use KLIPS. Attempting to continue with NETKEY
Jul  5 10:58:52 router-progr ipsec_setup: Using NETKEY(XFRM) stack
Jul  5 10:58:52 router-progr kernel: padlock: VIA PadLock not detected.
Jul  5 10:58:52 router-progr kernel: padlock: VIA PadLock Hash Engine not detected.
Jul  5 10:58:52 router-progr kernel: Intel AES-NI instructions are not detected.
Jul  5 10:58:52 router-progr kernel: padlock: VIA PadLock not detected.
Jul  5 10:58:52 router-progr ipsec_setup: could not open include filename: '/etc/ipsec.d/*.conf' (tried  and )
Jul  5 10:58:52 router-progr ipsec_starter[27810]: could not open include filename: '/etc/ipsec.d/*.conf' (tried  and )
Jul  5 10:58:52 router-progr ipsec_setup: /usr/libexec/ipsec/addconn Non-fips mode set in /proc/sys/crypto/fips_enabled
Jul  5 10:58:53 router-progr ipsec_setup: ...Openswan IPsec started
Jul  5 10:58:53 router-progr ipsec__plutorun: adjusting ipsec.d to /etc/ipsec.d
Jul  5 10:58:53 router-progr pluto: adjusting ipsec.d to /etc/ipsec.d
Jul  5 10:58:53 router-progr ipsec__plutorun: could not open include filename: '/etc/ipsec.d/*.conf' (tried  and )
Jul  5 10:58:53 router-progr ipsec_starter[27821]: could not open include filename: '/etc/ipsec.d/*.conf' (tried  and )
Jul  5 10:58:53 router-progr ipsec__plutorun: /usr/libexec/ipsec/addconn Non-fips mode set in /proc/sys/crypto/fips_enabled
Jul  5 10:58:53 router-progr ipsec__plutorun: could not open include filename: '/etc/ipsec.d/*.conf' (tried  and )
Jul  5 10:58:53 router-progr ipsec_starter[27822]: could not open include filename: '/etc/ipsec.d/*.conf' (tried  and )
Jul  5 10:58:53 router-progr ipsec__plutorun: /usr/libexec/ipsec/addconn Non-fips mode set in /proc/sys/crypto/fips_enabled
Jul  5 10:58:53 router-progr ipsec__plutorun: could not open include filename: '/etc/ipsec.d/*.conf' (tried  and )
Jul  5 10:58:53 router-progr ipsec_starter[27826]: could not open include filename: '/etc/ipsec.d/*.conf' (tried  and )
Jul  5 10:58:53 router-progr ipsec__plutorun: /usr/libexec/ipsec/addconn Non-fips mode set in /proc/sys/crypto/fips_enabled
Jul  5 10:58:53 router-progr ipsec__plutorun: 023 address family inconsistency in this connection=2 host=2/nexthop=0
Jul  5 10:58:53 router-progr ipsec__plutorun: 037 attempt to load incomplete connection
Jul  5 10:58:53 router-progr ipsec__plutorun: 003 no secrets filename matched "/etc/ipsec.d/*.secrets"
Jul  5 10:58:53 router-progr ipsec__plutorun: 021 no connection named "linksys-1"
Jul  5 10:58:53 router-progr ipsec__plutorun: 000 initiating all conns with alias='linksys-1'
Jul  5 10:58:53 router-progr ipsec__plutorun: 021 no connection named "linksys-1"

Чтобы сделать это с OpenS / WAN, вам нужно что-то вроде этого в /etc/ipsec.conf:

conn linksys-1
        # Left endpoint, subnet behind it, next hop toward right
        keyingtries=0
        left=a.b.c.4
        leftsubnet=a.b.c.4/32
        leftnexthop=%defaultroute
        # Right endpoint, subnet behind it, next hop toward left
        right=d.168.1.67
        rightsubnet=e.199.1.0/24
        type=tunnel
        authby=secret
        #auth=esp
        keylife=59m
        ikelifetime=59m
        #esp=3des-md5-96
        pfs=no
        #compress=no
        #keyexchange=ike
        auto=start

и что-то вроде этого в /etc/ipsec.secrets:

a.b.c.4 d.168.1.67: PSK "secret-goes-here"

Предполагается, что внешний IP-адрес Linksys d.168.1.67, что стоящая за ним сеть e.199.1.0/24, что общедоступный IP-адрес системы C6 a.b.c.4, и что он хочет, чтобы его только направили в туннель.

Не забудьте не совершить элементарную ошибку, протестировав туннель, выполнив эхо-запрос linkys из системы C6. Сам линксис не включен в туннель; только трафик к хостам внутри e.199.1.0/24 сеть будет правильно зашифрована и туннелирована.

Это не должно быть полным руководством, но, надеюсь, оно даст вам точку для начала, которая немного дальше, чем пустой холст.

редактировать: зачем ты показывал конфиг линксис, если хочешь подключить ящик С6 к чекпоинту? Вы хотите заменить линксис с коробкой C6? Если да, то то, что я написал, все еще применимо, просто замените IP-адреса соответственно; по сути, left это ваш IP-адрес, leftsubnet это сеть на вашем конце (вероятно, снова то же самое, с /32 прилагается), right адрес дальнего конца, и rightsubnet маршрутизируемый (часто частный) сетевой блок на дальнем конце. Два адреса, left и right, должен появиться в ipsec.secrets файл.

Если вы не заменяете linksys, а дополнительно настраиваете поле C6, вам также необходимо перенастроить поле контрольной точки, и это выходит за рамки этого ответа.