Настройка IPSEC в локальной сети между двумя хостами (OpenBSD)
Попытка использовать IPSEC между двумя хостами в локальной сети. VPN не задействован
Использование OpenBSD 5.8 (в VirtualBox). Я бы предпочел использовать встроенную поддержку OpenBSD для IPSEC и обмена ключами, а не стороннюю.
Два хозяина: 10.0.2.10 (хост "А") и 10.0.2.11 (хост "B")
Они могут пинговать /ssh друг с другом, прежде чем пытаться настроить IPSEC.
ОБНОВЛЕНИЕ: я думаю, что, возможно, OpenIKED (IKE v2) не поддерживает transport режим, так что я буду принимать ответы и для isakmp (IKE v1)
Скопировано /etc/iked/local.pub к б /etc/iked/pubkeys/ipv4/10.0.2.10
Скопированные Б /etc/iked/local.pub как /etc/iked/pubkeys/ipv4/10.0.2.11
На обоих:
echo "ikev2 esp from any to any" > /etc/iked.conf
chmod 640 /etc/iked.conf
echo "ipsec=YES" > /etc/rc.conf.local
echo "iked_flags=" >> /etc/rc.conf.local
Проверьте конфигурацию:
/sbin/iked -n
Configuration OK
Я не понимаю, что делать дальше. Я думаю, что мне нужно настроить /etc/ipsec.conf, но я только нашел документацию IKEv1 там.
Перезапустил обе машины. Нет ошибок Говорит, что iked начался. Если я переименую открытые ключи во что-либо, я все равно смогу пропинговать друг друга, поэтому IPSEC, похоже, не работает.
- Что еще мне нужно настроить?
- Есть ли логи для IPSEC и iked, и если да, где я могу их найти?
- Как определить, работает ли IPSEC после настройки, не просматривая пакеты между компьютерами? Пинг от B до A, tcpdump на A. Должны видеть "esp" и "spi" в tcpdump
ОБНОВЛЕНИЕ: я получил IPSEC, работающий с ручным обменом ключами
/etc/ipsec.conf:
# .10 is source, .11 is destination
flow esp from 10.0.2.10 to 10.0.2.11 type require
esp transport from 10.0.2.10 to 10.0.2.11 \
spi 0xCAFEBABE:0xCAFEBABE \
authkey 0x64CHARHEX:0x64CHARHEX \
enckey 0x64CHARHEX:0x64CHARHEX
гекс должен быть в верхнем регистре
chmod 640 /etc/ipsec.conf
ipsecctl -F (delete config)
ipsecctl -f /etc/ipsec.conf (load config)
ipsecctl -s all -v (show config)
Я бы предпочел использовать автоматический ввод IKEv2. Что я могу сделать?
2 ответа
Отвечая на мой вопрос, как ботаник
Проблема 1. OpenIKED (IKEv2) не поддерживает транспортный режим, поэтому вы можете использовать его только для VPN, а не в локальной сети. использование isakmpd (IKEv1)
Задача 2. Документация для ipsec.conf говорит, что auth а также enc значения имеют значения по умолчанию, но вам, кажется, нужно их установить в любом случае
Что еще мне нужно настроить?
Вам нужно установить правильный rc.d флаги на isakmpd (увидеть ниже)
Есть ли логи для IPSEC и iked, и если да, где я могу их найти?
Логи находятся на /var/log/daemon
Как определить, работает ли IPSEC после настройки, не просматривая пакеты между компьютерами?
на Б, беги tcpdump host Aи на бегу ping B, Ты хочешь увидеть esp а также spi в выводе tcpdump
Настроить:
Хост A (10.0.2.10)
# cat << EOF > /etc/ipsec.conf
ike active esp transport from 10.0.2.10 to 10.0.2.11 \
main auth hmac-sha1 enc aes \
quick auth hmac-sha2-256 enc aes
EOF
# chmod 640 /etc/ipsec.conf
# cd /etc/isakmpd/pubkeys/ipv4
# scp notRoot@10.0.2.11:/etc/isakmpd/local.pub 10.0.2.11 `# copy remote's public key`
# rcctl enable ipsec
# rcctl enable isakmpd
# rcctl set isakmpd flags "-KTv" `#K = use ipsec.conf for configuration, T = disable NAT traversal, v = verbose logging`
# ipsecctl -vf /etc/ipsec.conf `# start ipsec, or reboot`
# rcctl start isakmpd
Хост B (10.0.2.11)
# cat << EOF > /etc/ipsec.conf
ike active esp transport from 10.0.2.11 to 10.0.2.10 \
main auth hmac-sha1 enc aes \
quick auth hmac-sha2-256 enc aes
EOF
# chmod 640 /etc/ipsec.conf
# cd /etc/isakmpd/pubkeys/ipv4
# scp notRoot@10.0.2.10:/etc/isakmpd/local.pub 10.0.2.10 `# copy remote's public key`
# rcctl enable ipsec
# rcctl enable isakmpd
# rcctl set isakmpd flags "-KTv" `#K = use ipsec.conf for configuration, T = disable NAT traversal, v = verbose logging`
# ipsecctl -vf /etc/ipsec.conf `# start ipsec, or reboot`
# rcctl start isakmpd
Так что на самом деле у меня недавно было нечто подобное - просто IPSec-связь между одним адресом и моей сетью. Я использовал его для одного из своих телефонных серверов, чтобы попытаться получить TFTP через Интернет (для удовольствия).
------------------------- удаленная сторона, мой телефонный сервер ----------------
для /etc/ipsec.conf:
config setup
plutodebug=none
klipsdebug=none
dumpdir=/var/run/pluto/
nat_traversal=yes
protostack=netkey
plutostderrlog=/var/log/ipsec.log
conn L2TP-PSK-noNAT
type=tunnel
authby=secret
pfs=no
compress=no
keyexchange=ike
auth=esp
keyingtries=3
rekey=no
ike=aes256-md5-modp1536
ikelifetime=7800s
esp=aes128-md5
keylife=3600s
left=XXX.XXX.XXX.XXX
leftid=XXX.XXX.XXX.XXX
leftsubnet=XXX.XXX.XXX.XXX/32
####Those three addresses are all the same - No NAT/routing###
right=hq.myDynDNSDomainToMyOffice.com
rightid=hq.myDynDNSDomainToMyOffice.com
rightsourceip=10.0.0.1
rightsubnet=10.0.0.0/24
auto=add
для /etc/ipsec.secrets:
# this file is managed with debconf and will contain the automatically created RSA keys
include /var/lib/openswan/ipsec.secrets.inc
XXX.XXX.XXX.XXX hq.myDynDNSDomainToMyOffice.com: PSK "mySuperSecretPassword!"
---------------------- локальная сторона, мой брандмауэр ---------------------- -----
/etc/ipsec.conf
config setup
plutodebug="none"
nat_traversal="yes"
dumpdir=/var/run/pluto/
keep_alive="60"
probe_psk="no"
plutostderrlog=/var/log/ipsec.log
# Phone Server
conn S_REF_IpsSitPhoneServe_0
authby="psk"
auto="start"
compress="no"
ecn="no"
esp="aes128-md5"
ike="aes256-md5-modp1536"
ikelifetime="7800"
keyexchange="ike"
keylife="3600"
left="hq.myDynDNSDomainToMyOffice.com"
leftid="hq.myDynDNSDomainToMyOffice.com"
leftsourceip="10.0.0.1"
leftsubnet="10.0.0.0/24"
pfs="no"
pmtu_discovery="no"
rekeymargin="540"
right="XXX.XXX.XXX.XXX"
rightid="XXX.XXX.XXX.XXX"
rightsubnet="XXX.XXX.XXX.XXX/32"
type="tunnel"
для /etc/ipsec.secrets:
# this file is managed with debconf and will contain the automatically created RSA keys
include /var/lib/openswan/ipsec.secrets.inc
hq.myDynDNSDomainToMyOffice.com XXX.XXX.XXX.XXX : PSK "mySuperSecretPassword!"
Это даст вам 99% пути туда. Остальные 1% зависят от вас, журналы ошибок создаются в /var/log/ipsec.log. Обратите внимание, что на стороне сервера телефона все было сделано вручную, но на стороне брандмауэра мой графический интерфейс брандмауэра кашлянул. Во второй половине могут быть некоторые ненужные / избыточные биты конфигурации.
После того, как вы заработаете, убедитесь, что вы дважды проверили все параметры безопасности, прежде чем пропустить что-либо "ipsec-достойное" через него.
Изменить 01: Я видел, что вы хотели лучшие примеры, поэтому я публикую несколько новых файлов конфигурации, которые я только что протестировал:
---------------- телефонный сервер ipsec.conf -----------------
root@phoneServerName:/home/neil# cat /etc/ipsec.conf
# /etc/ipsec.conf - Openswan IPsec configuration file
version 2.0
config setup
plutodebug=all
klipsdebug=none
dumpdir=/var/run/pluto/
protostack=netkey
plutostderrlog=/var/log/ipsec.log
conn PSK-noNAT
type=transport
authby=secret
keyexchange=ike
ike=aes256-md5-modp1536
ikelifetime=7800s
phase2alg=aes128-md5
keylife=3600s
left=XXX.XXX.XXX.XXX
leftid=XXX.XXX.XXX.XXX
right=hq.myDynDNSDomainToMyOffice.com
rightid=hq.myDynDNSDomainToMyOffice.com
auto=add
--------------------- межсетевой экран ipsec.conf -------------------------
hq:/var/sec/chroot-ipsec/etc # cat ipsec.conf
#/etc/ipsec.conf - strongSwan IPsec configuration file
config setup
#metric="0"
charonstart="no"
plutodebug="none"
uniqueids="no"
nocrsend="yes"
nat_traversal="no"
keep_alive="60"
crlcheckinterval="0"
strictcrlpolicy="no"
probe_psk="no"
conn %default
rekeyfuzz="100%"
keyingtries="0"
leftsendcert="always"
dpddelay="30"
dpdtimeout="120"
dpdaction="restart"
conn transportModeFirewallToPhoneServer
authby="psk"
auto="start"
compress="no"
ecn="no"
esp="aes128-md5"
ike="aes256-md5-modp1536"
ikelifetime="7800"
keyexchange="ike"
keylife="3600"
left="hq.myDynDNSDomainToMyOffice.com"
leftid="hq.myDynDNSDomainToMyOffice.com"
leftupdown="/usr/libexec/ipsec/updown classic"
pfs="yes"
pfsgroup="modp1536"
pmtu_discovery="no"
rekeymargin="540"
right="XXX.XXX.XXX.XXX"
rightid="XXX.XXX.XXX.XXX"
type="transport"
По сути, просто удалите что-нибудь о подсетях и измените тип на транспортный.
Это рабочая конфигурация. Как я знаю, что это работает? IPTables блокирует все на телефонном сервере. После подключения к IPSec мой трафик SIP и трафик веб-управления проходят через него.