டெபியன் மற்றும் உபுண்டுவில் ஸ்ட்ராங்ஸ்வானுடன் ஐபிசெக் அடிப்படையிலான விபிஎன் அமைப்பது எப்படி
ஸ்ட்ராங்ஸ்வான் என்பது ஒரு திறந்த மூல, குறுக்கு-தளம், முழு அம்சம் மற்றும் பரவலாகப் பயன்படுத்தப்படும் ஐபிசெக் அடிப்படையிலான விபிஎன் (மெய்நிகர் தனியார் நெட்வொர்க்) செயல்படுத்தல் ஆகும், இது லினக்ஸ், ஃப்ரீ.பி.எஸ்.டி, ஓஎஸ் எக்ஸ், விண்டோஸ், ஆண்ட்ராய்டு மற்றும் iOS இல் இயங்குகிறது. இது முதன்மையாக ஒரு கீயிங் டீமான் ஆகும், இது இணைய விசை பரிமாற்ற நெறிமுறைகளை (IKEv1 மற்றும் IKEv2) ஆதரிக்கிறது, இது இரண்டு சகாக்களுக்கு இடையே பாதுகாப்பு சங்கங்களை (SA) நிறுவுகிறது.
இந்த கட்டுரை உபுண்டு மற்றும் டெபியன் சேவையகங்களில் வலுவான ஸ்வானைப் பயன்படுத்தி தளத்திலிருந்து தளத்திற்கு ஐபிசெக் விபிஎன் நுழைவாயில்களை எவ்வாறு அமைப்பது என்பதை விவரிக்கிறது. தளத்திலிருந்து தளத்திற்கு ஒவ்வொரு பாதுகாப்பு நுழைவாயிலுக்கு பின்னால் ஒரு துணை வலை உள்ளது என்று அர்த்தம். தவிர, முன்பே பகிரப்பட்ட விசையை (பி.எஸ்.கே) பயன்படுத்தி சகாக்கள் ஒருவருக்கொருவர் அங்கீகரிப்பார்கள்.
உங்கள் சூழலை உள்ளமைக்க பின்வரும் ஐபிக்களை உங்கள் நிஜ உலக ஐபிகளுடன் மாற்ற நினைவில் கொள்க.
தளம் 1 நுழைவாயில் (டெக்மிண்ட்-டெவ்கேவே)
OS 1: Debian or Ubuntu Public IP: 10.20.20.1 Private IP: 192.168.0.101/24 Private Subnet: 192.168.0.0/24
தளம் 2 நுழைவாயில் (டெக்மிண்ட்-ப்ரோட்கேட்வே)
OS 2: Debian or Ubuntu Public IP: 10.20.20.3 Private IP: 10.0.2.15/24 Private Subnet: 10.0.2.0/24
படி 1: கர்னல் பாக்கெட் பகிர்தலை இயக்குகிறது
1. முதலில், இரு பாதுகாப்பு நுழைவாயில்களிலும் /etc/sysctl.conf உள்ளமைவு கோப்பில் பொருத்தமான கணினி மாறிகள் சேர்ப்பதன் மூலம் பாக்கெட் பகிர்தலை இயக்க கர்னலை உள்ளமைக்க வேண்டும்.
$ sudo vim /etc/sysctl.conf
பின்வரும் வரிகளைத் தேடுங்கள் மற்றும் அவற்றைக் கட்டுப்படுத்துங்கள் மற்றும் அவற்றின் மதிப்புகளைக் காட்டப்பட்டுள்ளபடி அமைக்கவும் (மேலும் தகவலுக்கு கோப்பில் கருத்துகளைப் படிக்கவும்).
net.ipv4.ip_forward = 1 net.ipv6.conf.all.forwarding = 1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0
2. அடுத்து, பின்வரும் கட்டளையை இயக்குவதன் மூலம் புதிய அமைப்புகளை ஏற்றவும்.
$ sudo sysctl -p
3. உங்களிடம் யுஎஃப்டபிள்யூ ஃபயர்வால் சேவை இயக்கப்பட்டிருந்தால், பாதுகாப்பு நுழைவாயில்களில் வடிகட்டி விதிகளுக்கு சற்று முன் பின்வரும் விதிகளை /etc/ufw/before.rules உள்ளமைவு கோப்பில் சேர்க்க வேண்டும்.
தளம் 1 நுழைவாயில் (டெக்மிண்ட்-டெவ்கேவே)
*nat :POSTROUTING ACCEPT [0:0] -A POSTROUTING -s 10.0.2.0/24 -d 192.168.0.0/24 -j MASQUERADE COMMIT
தளம் 2 நுழைவாயில் (டெக்மிண்ட்-ப்ரோட்கேட்வே)
*nat :POSTROUTING ACCEPT [0:0] -A POSTROUTING -s 192.168.0.0/24 -d 10.0.2.0/24 -j MASQUERADE COMMIT
4. ஃபயர்வால் விதிகள் சேர்க்கப்பட்டதும், காட்டப்பட்டுள்ளபடி UFW ஐ மறுதொடக்கம் செய்வதன் மூலம் புதிய மாற்றங்களைப் பயன்படுத்துங்கள்.
$ sudo ufw disable $ sudo ufw enable
படி 2: டெபியன் மற்றும் உபுண்டுவில் வலுவான ஸ்வானை நிறுவுதல்
5. பாதுகாப்பு நுழைவாயில்களில் உங்கள் தொகுப்பு தற்காலிக சேமிப்பை புதுப்பித்து, APT தொகுப்பு நிர்வாகியைப் பயன்படுத்தி ஸ்ட்ராங்ஸ்வான் தொகுப்பை நிறுவவும்.
$ sudo apt update $ sudo apt install strongswan
6. நிறுவல் முடிந்ததும், நிறுவி ஸ்கிரிப்ட் ஸ்ட்ராங்ஸ்வான் சேவையைத் தொடங்கி கணினி துவக்கத்தில் தானாகவே தொடங்க உதவும். நீங்கள் அதன் நிலையை சரிபார்க்கலாம் மற்றும் பின்வரும் கட்டளையைப் பயன்படுத்தி இது இயக்கப்பட்டதா.
$ sudo systemctl status strongswan.service $ sudo systemctl is-enabled strongswan.service
படி 3: பாதுகாப்பு நுழைவாயில்களை கட்டமைத்தல்
7. அடுத்து, நீங்கள் /etc/ipsec.conf உள்ளமைவு கோப்பைப் பயன்படுத்தி பாதுகாப்பு நுழைவாயில்களை உள்ளமைக்க வேண்டும்.
தளம் 1 நுழைவாயில் (டெக்மிண்ட்-டெவ்கேவே)
$ sudo cp /etc/ipsec.conf /etc/ipsec.conf.orig $ sudo nano /etc/ipsec.conf
கோப்பில் பின்வரும் உள்ளமைவை நகலெடுத்து ஒட்டவும்.
config setup
charondebug="all"
uniqueids=yes
conn devgateway-to-prodgateway
type=tunnel
auto=start
keyexchange=ikev2
authby=secret
left=10.20.20.1
leftsubnet=192.168.0.101/24
right=10.20.20.3
rightsubnet=10.0.2.15/24
ike=aes256-sha1-modp1024!
esp=aes256-sha1!
aggressive=no
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
dpddelay=30s
dpdtimeout=120s
dpdaction=restart
தளம் 2 நுழைவாயில் (டெக்மிண்ட்-ப்ரோட்கேட்வே)
$ sudo cp /etc/ipsec.conf /etc/ipsec.conf.orig $ sudo cp /etc/ipsec.conf
கோப்பில் பின்வரும் உள்ளமைவை நகலெடுத்து ஒட்டவும்.
config setup
charondebug="all"
uniqueids=yes
conn prodgateway-to-devgateway
type=tunnel
auto=start
keyexchange=ikev2
authby=secret
left=10.20.20.3
leftsubnet=10.0.2.15/24
right=10.20.20.1
rightsubnet=192.168.0.101/24
ike=aes256-sha1-modp1024!
esp=aes256-sha1!
aggressive=no
keyingtries=%forever
ikelifetime=28800s
lifetime=3600s
dpddelay=30s
dpdtimeout=120s
dpdaction=restart
ஒவ்வொரு உள்ளமைவு அளவுருவின் பொருள் இங்கே:
- உள்ளமைவு அமைப்பு - அனைத்து இணைப்புகளுக்கும் பொருந்தும் IPSec க்கான பொதுவான உள்ளமைவு தகவலைக் குறிப்பிடுகிறது.
- charondebug - Charon பிழைத்திருத்த வெளியீடு எவ்வளவு உள்நுழைய வேண்டும் என்பதை வரையறுக்கிறது.
- தனித்துவங்கள் - ஒரு குறிப்பிட்ட பங்கேற்பாளர் ஐடியை தனித்துவமாக வைத்திருக்க வேண்டுமா என்பதைக் குறிப்பிடுகிறது.
- conn prodgateway-to-devgateway - இணைப்பு பெயரை வரையறுக்கிறது.
- வகை - இணைப்பு வகையை வரையறுக்கிறது.
- தானாக - IPSec தொடங்கப்படும்போது அல்லது மறுதொடக்கம் செய்யப்படும்போது இணைப்பை எவ்வாறு கையாள்வது.
- keyexchange - பயன்படுத்த IKE நெறிமுறையின் பதிப்பை வரையறுக்கிறது.
- authby - சகாக்கள் ஒருவருக்கொருவர் எவ்வாறு அங்கீகரிக்க வேண்டும் என்பதை வரையறுக்கிறது.
- இடது - இடது பங்கேற்பாளரின் பொது-பிணைய இடைமுகத்தின் ஐபி முகவரியை வரையறுக்கிறது.
- இடதுசப்நெட் - இடது பங்கேற்பாளருக்குப் பின்னால் உள்ள தனியார் சப்நெட்டைக் கூறுகிறது.
- வலது - சரியான பங்கேற்பாளரின் பொது-பிணைய இடைமுகத்தின் ஐபி முகவரியைக் குறிப்பிடுகிறது.
- ரைட்ஸப்நெட் - இடது பங்கேற்பாளரின் பின்னால் உள்ள தனியார் சப்நெட்டைக் கூறுகிறது.
- ike - பயன்படுத்த வேண்டிய IKE/ISAKMP SA குறியாக்கம்/அங்கீகார வழிமுறைகளின் பட்டியலை வரையறுக்கிறது. நீங்கள் கமாவால் பிரிக்கப்பட்ட பட்டியலைச் சேர்க்கலாம்.
- எஸ்பி - இணைப்பிற்குப் பயன்படுத்தப்பட வேண்டிய ஈஎஸ்பி குறியாக்க/அங்கீகார வழிமுறைகளின் பட்டியலை வரையறுக்கிறது. நீங்கள் கமாவால் பிரிக்கப்பட்ட பட்டியலைச் சேர்க்கலாம்.
- ஆக்கிரமிப்பு - ஆக்கிரமிப்பு அல்லது முதன்மை பயன்முறையைப் பயன்படுத்தலாமா என்று கூறுகிறது.
- கீயிங்ரிஸ் - ஒரு இணைப்பைப் பேச்சுவார்த்தை நடத்த முயற்சிக்க வேண்டிய முயற்சிகளின் எண்ணிக்கையைக் கூறுகிறது.
- ikelifetime - ஒரு பேச்சுவார்த்தைக்கு முன்னர் ஒரு இணைப்பின் விசை சேனல் எவ்வளவு காலம் நீடிக்க வேண்டும் என்று கூறுகிறது.
- வாழ்நாள் - ஒரு வெற்றிகரமான பேச்சுவார்த்தை முதல் காலாவதி வரை ஒரு இணைப்பின் ஒரு குறிப்பிட்ட நிகழ்வு எவ்வளவு காலம் நீடிக்க வேண்டும் என்பதை வரையறுக்கிறது.
- dpddelay - R_U_THERE செய்திகள்/தகவல் பரிமாற்றங்கள் சகாக்களுக்கு அனுப்பப்படும் நேர இடைவெளியைக் குறிப்பிடுகிறது. <
- dpdtimeout - காலாவதியான இடைவெளியைக் குறிப்பிடுகிறது, அதன் பிறகு செயலற்ற நிலையில் ஒரு சகாவுக்கான அனைத்து இணைப்புகளும் நீக்கப்படும்.
- dpdaction - இணைப்பை நிர்வகிக்க டெட் பியர் கண்டறிதல் (டிபிடி) நெறிமுறையை எவ்வாறு பயன்படுத்துவது என்பதை வரையறுக்கிறது.
மேலே உள்ள உள்ளமைவு அளவுருக்கள் பற்றிய கூடுதல் தகவலுக்கு, கட்டளையை இயக்குவதன் மூலம் ipsec.conf மேன் பக்கத்தைப் படிக்கவும்.
$ man ipsec.conf
படி 4: பியர்-டு-பியர் அங்கீகாரத்திற்காக PSK ஐ கட்டமைத்தல்
8. இரண்டு பாதுகாப்பு நுழைவாயில்களையும் உள்ளமைத்த பிறகு, பின்வரும் கட்டளையைப் பயன்படுத்தி சகாக்களால் பயன்படுத்த ஒரு பாதுகாப்பான PSK ஐ உருவாக்கவும்.
$ head -c 24 /dev/urandom | base64
9. அடுத்து, இரு நுழைவாயில்களிலும் /etc/ipsec.secrets கோப்பில் PSK ஐச் சேர்க்கவும்.
$ sudo vim /etc/ipsec.secrets
பின்வரும் வரியை நகலெடுத்து ஒட்டவும்.
------- Site 1 Gateway (tecmint-devgateway) ------- 10.20.20.1 10.20.20.3 : PSK "qLGLTVQOfqvGLsWP75FEtLGtwN3Hu0ku6C5HItKo6ac=" ------- Site 2 Gateway (tecmint-prodgateway) ------- 10.20.20.3 10.20.20.1 : PSK "qLGLTVQOfqvGLsWP75FEtLGtwN3Hu0ku6C5HItKo6ac="
10. ஐபிசெக் நிரலை மறுதொடக்கம் செய்து இணைப்புகளைக் காண அதன் நிலையைச் சரிபார்க்கவும்.
$ sudo ipsec restart $ sudo ipsec status
11. இறுதியாக, பிங் கட்டளையை இயக்குவதன் மூலம் பாதுகாப்பு நுழைவாயில்களிலிருந்து தனிப்பட்ட துணை வலைகளை அணுகலாம் என்பதை சரிபார்க்கவும்.
$ ping 192.168.0.101 $ ping 10.0.2.15
12. தவிர, காட்டப்பட்டுள்ளபடி நீங்கள் நிறுத்தி IPSec ஐ தொடங்கலாம்.
$ sudo ipsec stop $ sudo ipsec start
13. கைமுறையாக இணைப்புகளைக் கொண்டுவருவதற்கான IPSec கட்டளைகளைப் பற்றி மேலும் அறிய, IPSec உதவி பக்கத்தைப் பார்க்கவும்.
$ ipsec --help
அவ்வளவுதான்! இந்த கட்டுரையில், உபுண்டு மற்றும் டெபியன் சேவையகங்களில் வலுவான ஸ்வானைப் பயன்படுத்தி ஒரு தளத்திலிருந்து தளத்திற்கு ஐபிசெக் விபிஎனை எவ்வாறு அமைப்பது என்பதை விவரித்தோம், அங்கு இரு பாதுகாப்பு நுழைவாயில்களும் ஒரு பி.எஸ்.கே ஐப் பயன்படுத்தி ஒருவருக்கொருவர் அங்கீகரிக்க கட்டமைக்கப்பட்டன. பகிர்ந்து கொள்ள உங்களுக்கு ஏதேனும் கேள்விகள் அல்லது எண்ணங்கள் இருந்தால், கீழேயுள்ள கருத்து படிவம் வழியாக எங்களை அணுகவும்.