NAT ਅਤੇ VMWare NSX Edge ਦੇ ਪਿੱਛੇ Strongswan ਵਿਚਕਾਰ IPSec ਸੁਰੰਗ

ਕਈ ਕਾਰਨਾਂ ਕਰਕੇ, VMWare ਕਲਾਉਡ ਡਾਇਰੈਕਟਰ ਵਿੱਚ ਨੈਟਵਰਕ ਅਤੇ ਕਲਾਉਡ ਵਿੱਚ ਇੱਕ ਵੱਖਰੀ ਉਬੰਟੂ ਮਸ਼ੀਨ ਦੇ ਵਿਚਕਾਰ ਇੱਕ VPN ਕਨੈਕਸ਼ਨ ਨੂੰ ਸੰਗਠਿਤ ਕਰਨਾ ਜ਼ਰੂਰੀ ਸੀ। ਨੋਟ ਇੱਕ ਪੂਰਾ ਵੇਰਵਾ ਹੋਣ ਦਾ ਦਿਖਾਵਾ ਨਹੀਂ ਕਰਦਾ, ਇਹ ਸਿਰਫ ਇੱਕ ਛੋਟਾ ਜਿਹਾ ਤਰੀਕਾ ਹੈ।

2015 ਤੋਂ ਇਸ ਵਿਸ਼ੇ 'ਤੇ ਇਕੋ ਇਕ ਲੇਖ ਇੰਟਰਨੈਟ 'ਤੇ ਪਾਇਆ ਗਿਆ ਸੀ "NSX Edge ਅਤੇ Linux strongSwan ਵਿਚਕਾਰ ਸਾਈਟ ਤੋਂ ਸਾਈਟ IPSEC VPN".

ਬਦਕਿਸਮਤੀ ਨਾਲ, ਇਸਨੂੰ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਵਰਤਣਾ ਸੰਭਵ ਨਹੀਂ ਸੀ, ਕਿਉਂਕਿ... ਮੈਂ ਵਧੇਰੇ ਭਰੋਸੇਮੰਦ ਏਨਕ੍ਰਿਪਸ਼ਨ ਚਾਹੁੰਦਾ ਸੀ, ਨਾ ਕਿ ਇੱਕ ਸਵੈ-ਦਸਤਖਤ ਸਰਟੀਫਿਕੇਟ, ਅਤੇ ਵਰਣਨ ਕੀਤੀ ਸੰਰਚਨਾ NAT ਦੇ ਪਿੱਛੇ ਕੰਮ ਨਹੀਂ ਕਰੇਗੀ.

ਇਸ ਲਈ, ਮੈਨੂੰ ਬੈਠ ਕੇ ਦਸਤਾਵੇਜ਼ਾਂ ਦੀ ਖੋਜ ਕਰਨੀ ਪਈ।

ਇੱਕ ਅਧਾਰ ਦੇ ਤੌਰ ਤੇ, ਮੈਂ ਇੱਕ ਸੰਰਚਨਾ ਲਿਆ ਜੋ ਮੈਂ ਲੰਬੇ ਸਮੇਂ ਤੋਂ ਵਰਤ ਰਿਹਾ ਸੀ, ਜੋ ਮੈਨੂੰ ਲਗਭਗ ਕਿਸੇ ਵੀ OS ਤੋਂ ਜੁੜਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ, ਅਤੇ ਇਸ ਵਿੱਚ ਬਸ ਇੱਕ ਟੁਕੜਾ ਜੋੜਿਆ ਜੋ ਮੈਨੂੰ NSX Edge ਨਾਲ ਜੁੜਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ.

ਕਿਉਂਕਿ ਸਟ੍ਰੋਂਗਸਵਾਨ ਸਰਵਰ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨਾ ਅਤੇ ਪੂਰੀ ਤਰ੍ਹਾਂ ਸੰਰਚਿਤ ਕਰਨਾ ਇਸ ਨੋਟ ਦੇ ਦਾਇਰੇ ਤੋਂ ਬਾਹਰ ਹੈ, ਆਓ ਮੈਂ ਇਸ ਦਾ ਹਵਾਲਾ ਦਿੰਦਾ ਹਾਂ ਇਸ ਵਿਸ਼ੇ 'ਤੇ ਚੰਗੀ ਸਮੱਗਰੀ.

ਇਸ ਲਈ, ਆਓ ਸਿੱਧੇ ਸੈਟਿੰਗਾਂ 'ਤੇ ਚੱਲੀਏ।

ਸਾਡਾ ਕੁਨੈਕਸ਼ਨ ਚਿੱਤਰ ਇਸ ਤਰ੍ਹਾਂ ਦਿਖਾਈ ਦੇਵੇਗਾ:

со стороны VMWare внешний адрес 33.33.33.33 и внутренняя сеть 192.168.1.0/24
со стороны Linux внешний адрес 22.22.22.22 и внутренняя сеть 10.10.10.0/24
также понадобится настроить Let's encrypt сертификат для адреса vpn.linux.ext
PSK с обеих сторон: ChangeMeNow!

NSX Edge ਤੋਂ ਸੰਰਚਨਾ:

ਟੈਕਸਟ

Enabled: yes
Enable perfect forward secrecy (PFS): yes
Name: VPN_strongswan (любое, по вашему выбору)
Local Id: 33.33.33.33
Local Endpoint: 33.33.33.33
Local Subnets: 192.168.1.0/24
Peer Id: vpn.linux.ext
Peer Endpoint: 22.22.22.22
Peer Subnets: 10.10.10.0/24
Encryption Algorithm: AES256
Authentication: PSK
Pre-Shared Key: ChangeMeNow!
Diffie-Hellman Group: 14 (2048 bit — приемлемый компромисс между скоростью и безопасностью. Но если хотите, можете поставить больше)
Digest Algorithm: SHA256
IKE Option: IKEv2
IKE Responder Only: no
Session Type: Policy Based Session

ਸਕਰੀਨਸ਼ਾਟ



Strongswan ਤੋਂ ਸੈੱਟਅੱਪ:

ipsec.conf

# /etc/ipsec.conf
config setup

conn %default
	dpdaction=clear
	dpddelay=35s
	dpdtimeout=300s

	fragmentation=yes
	rekey=no

	ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
	esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-modp2048,aes128-sha1-modp1024,3des-sha1-modp1024,aes128-aes256-sha1-sha256,aes128-sha1,3des-sha1!

	left=%any
	leftsubnet=10.10.10.0/24
        leftcert=certificate.pem
	leftfirewall=yes
	leftsendcert=always

	right=%any
	rightsourceip=192.168.1.0/24
	rightdns=77.88.8.8,8.8.4.4

	eap_identity=%identity

# IKEv2
conn IPSec-IKEv2
	keyexchange=ikev2
	auto=add

# BlackBerry, Windows, Android
conn IPSec-IKEv2-EAP
	also="IPSec-IKEv2"
	rightauth=eap-mschapv2

# macOS, iOS
conn IKEv2-MSCHAPv2-Apple
	also="IPSec-IKEv2"
	rightauth=eap-mschapv2
	leftid=vpn.linux.ext

# Android IPsec Hybrid RSA
conn IKEv1-Xauth
	keyexchange=ikev1
	rightauth=xauth
	auto=add

# VMWare IPSec VPN
conn linux-nsx-psk
	authby=secret
	auto=start
	leftid=vpn.linux.ext
	left=10.10.10.10
	leftsubnet=10.10.10.0/24
	rightid=33.33.33.33
	right=33.33.33.33
	rightsubnet=192.168.1.0/24
	ikelifetime=28800
	keyexchange=ikev2
	lifebytes=0
	lifepackets=0
	lifetime=1h

ipsec.secret

# /etc/ipsec.secrets
: RSA privkey.pem

# Create VPN users accounts
# ВНИМАНИЕ! После логина сначала пробел, потом двоеточие.

user1 : EAP "stongPass1"
user2 : EAP "stongPass2"
%any 33.33.33.33 : PSK "ChangeMeNow!"

ਉਸ ਤੋਂ ਬਾਅਦ, ਸੰਰਚਨਾ ਨੂੰ ਦੁਬਾਰਾ ਪੜ੍ਹੋ, ਕੁਨੈਕਸ਼ਨ ਸ਼ੁਰੂ ਕਰੋ ਅਤੇ ਜਾਂਚ ਕਰੋ ਕਿ ਇਹ ਸਥਾਪਿਤ ਹੈ:

ipsec update
ipsec rereadsecrets
ipsec up linux-nsx-psk
ipsec status

ਮੈਨੂੰ ਉਮੀਦ ਹੈ ਕਿ ਇਹ ਛੋਟਾ ਜਿਹਾ ਨੋਟ ਮਦਦਗਾਰ ਹੋਵੇਗਾ ਅਤੇ ਕਿਸੇ ਨੂੰ ਕੁਝ ਘੰਟੇ ਬਚਾਉਂਦਾ ਹੈ।

ਸਰੋਤ: www.habr.com