டெபியன் மற்றும் உபுண்டுவில் ஸ்ட்ராங்ஸ்வானுடன் ஐபிசெக் அடிப்படையிலான விபிஎன் அமைப்பது எப்படி
ஸ்ட்ராங்ஸ்வான் என்பது ஒரு திறந்த மூல, குறுக்கு-தளம், முழு அம்சம் மற்றும் பரவலாகப் பயன்படுத்தப்படும் ஐபிசெக் அடிப்படையிலான விபிஎன் (மெய்நிகர் தனியார் நெட்வொர்க்) செயல்படுத்தல் ஆகும், இது லினக்ஸ், ஃப்ரீ.பி.எஸ்.டி, ஓஎஸ் எக்ஸ், விண்டோஸ், ஆண்ட்ராய்டு மற்றும் iOS இல் இயங்குகிறது. இது முதன்மையாக ஒரு கீயிங் டீமான் ஆகும், இது இணைய விசை பரிமாற்ற நெறிமுறைகளை (IKEv1 மற்றும் IKEv2) ஆதரிக்கிறது, இது இரண்டு சகாக்களுக்கு இடையே பாதுகாப்பு சங்கங்களை (SA) நிறுவுகிறது.
இந்த கட்டுரை உபுண்டு மற்றும் டெபியன் சேவையகங்களில் வலுவான ஸ்வானைப் பயன்படுத்தி தளத்திலிருந்து தளத்திற்கு ஐபிசெக் விபிஎன் நுழைவாயில்களை எவ்வாறு அமைப்பது என்பதை விவரிக்கிறது. தளத்திலிருந்து தளத்திற்கு ஒவ்வொரு பாதுகாப்பு நுழைவாயிலுக்கு பின்னால் ஒரு துணை வலை உள்ளது என்று அர்த்தம். தவிர, முன்பே பகிரப்பட்ட விசையை (பி.எஸ்.கே) பயன்படுத்தி சகாக்கள் ஒருவருக்கொருவர் அங்கீகரிப்பார்கள்.
உங்கள் சூழலை உள்ளமைக்க பின்வரும் ஐபிக்களை உங்கள் நிஜ உலக ஐபிகளுடன் மாற்ற நினைவில் கொள்க.
தளம் 1 நுழைவாயில் (டெக்மிண்ட்-டெவ்கேவே)
OS 1: Debian or Ubuntu Public IP: 10.20.20.1 Private IP: 192.168.0.101/24 Private Subnet: 192.168.0.0/24
தளம் 2 நுழைவாயில் (டெக்மிண்ட்-ப்ரோட்கேட்வே)
OS 2: Debian or Ubuntu Public IP: 10.20.20.3 Private IP: 10.0.2.15/24 Private Subnet: 10.0.2.0/24
படி 1: கர்னல் பாக்கெட் பகிர்தலை இயக்குகிறது
1. முதலில், இரு பாதுகாப்பு நுழைவாயில்களிலும் /etc/sysctl.conf உள்ளமைவு கோப்பில் பொருத்தமான கணினி மாறிகள் சேர்ப்பதன் மூலம் பாக்கெட் பகிர்தலை இயக்க கர்னலை உள்ளமைக்க வேண்டும்.
$ sudo vim /etc/sysctl.conf
பின்வரும் வரிகளைத் தேடுங்கள் மற்றும் அவற்றைக் கட்டுப்படுத்துங்கள் மற்றும் அவற்றின் மதிப்புகளைக் காட்டப்பட்டுள்ளபடி அமைக்கவும் (மேலும் தகவலுக்கு கோப்பில் கருத்துகளைப் படிக்கவும்).
net.ipv4.ip_forward = 1 net.ipv6.conf.all.forwarding = 1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0
2. அடுத்து, பின்வரும் கட்டளையை இயக்குவதன் மூலம் புதிய அமைப்புகளை ஏற்றவும்.
$ sudo sysctl -p
3. உங்களிடம் யுஎஃப்டபிள்யூ ஃபயர்வால் சேவை இயக்கப்பட்டிருந்தால், பாதுகாப்பு நுழைவாயில்களில் வடிகட்டி விதிகளுக்கு சற்று முன் பின்வரும் விதிகளை /etc/ufw/before.rules உள்ளமைவு கோப்பில் சேர்க்க வேண்டும்.
தளம் 1 நுழைவாயில் (டெக்மிண்ட்-டெவ்கேவே)
*nat :POSTROUTING ACCEPT [0:0] -A POSTROUTING -s 10.0.2.0/24 -d 192.168.0.0/24 -j MASQUERADE COMMIT
தளம் 2 நுழைவாயில் (டெக்மிண்ட்-ப்ரோட்கேட்வே)
*nat :POSTROUTING ACCEPT [0:0] -A POSTROUTING -s 192.168.0.0/24 -d 10.0.2.0/24 -j MASQUERADE COMMIT
4. ஃபயர்வால் விதிகள் சேர்க்கப்பட்டதும், காட்டப்பட்டுள்ளபடி UFW ஐ மறுதொடக்கம் செய்வதன் மூலம் புதிய மாற்றங்களைப் பயன்படுத்துங்கள்.
$ sudo ufw disable $ sudo ufw enable
படி 2: டெபியன் மற்றும் உபுண்டுவில் வலுவான ஸ்வானை நிறுவுதல்
5. பாதுகாப்பு நுழைவாயில்களில் உங்கள் தொகுப்பு தற்காலிக சேமிப்பை புதுப்பித்து, APT தொகுப்பு நிர்வாகியைப் பயன்படுத்தி ஸ்ட்ராங்ஸ்வான் தொகுப்பை நிறுவவும்.
$ sudo apt update $ sudo apt install strongswan
6. நிறுவல் முடிந்ததும், நிறுவி ஸ்கிரிப்ட் ஸ்ட்ராங்ஸ்வான் சேவையைத் தொடங்கி கணினி துவக்கத்தில் தானாகவே தொடங்க உதவும். நீங்கள் அதன் நிலையை சரிபார்க்கலாம் மற்றும் பின்வரும் கட்டளையைப் பயன்படுத்தி இது இயக்கப்பட்டதா.
$ sudo systemctl status strongswan.service $ sudo systemctl is-enabled strongswan.service
படி 3: பாதுகாப்பு நுழைவாயில்களை கட்டமைத்தல்
7. அடுத்து, நீங்கள் /etc/ipsec.conf உள்ளமைவு கோப்பைப் பயன்படுத்தி பாதுகாப்பு நுழைவாயில்களை உள்ளமைக்க வேண்டும்.
தளம் 1 நுழைவாயில் (டெக்மிண்ட்-டெவ்கேவே)
$ sudo cp /etc/ipsec.conf /etc/ipsec.conf.orig $ sudo nano /etc/ipsec.conf
கோப்பில் பின்வரும் உள்ளமைவை நகலெடுத்து ஒட்டவும்.
config setup charondebug="all" uniqueids=yes conn devgateway-to-prodgateway type=tunnel auto=start keyexchange=ikev2 authby=secret left=10.20.20.1 leftsubnet=192.168.0.101/24 right=10.20.20.3 rightsubnet=10.0.2.15/24 ike=aes256-sha1-modp1024! esp=aes256-sha1! aggressive=no keyingtries=%forever ikelifetime=28800s lifetime=3600s dpddelay=30s dpdtimeout=120s dpdaction=restart
தளம் 2 நுழைவாயில் (டெக்மிண்ட்-ப்ரோட்கேட்வே)
$ sudo cp /etc/ipsec.conf /etc/ipsec.conf.orig $ sudo cp /etc/ipsec.conf
கோப்பில் பின்வரும் உள்ளமைவை நகலெடுத்து ஒட்டவும்.
config setup charondebug="all" uniqueids=yes conn prodgateway-to-devgateway type=tunnel auto=start keyexchange=ikev2 authby=secret left=10.20.20.3 leftsubnet=10.0.2.15/24 right=10.20.20.1 rightsubnet=192.168.0.101/24 ike=aes256-sha1-modp1024! esp=aes256-sha1! aggressive=no keyingtries=%forever ikelifetime=28800s lifetime=3600s dpddelay=30s dpdtimeout=120s dpdaction=restart
ஒவ்வொரு உள்ளமைவு அளவுருவின் பொருள் இங்கே:
- உள்ளமைவு அமைப்பு - அனைத்து இணைப்புகளுக்கும் பொருந்தும் IPSec க்கான பொதுவான உள்ளமைவு தகவலைக் குறிப்பிடுகிறது.
- charondebug - Charon பிழைத்திருத்த வெளியீடு எவ்வளவு உள்நுழைய வேண்டும் என்பதை வரையறுக்கிறது.
- தனித்துவங்கள் - ஒரு குறிப்பிட்ட பங்கேற்பாளர் ஐடியை தனித்துவமாக வைத்திருக்க வேண்டுமா என்பதைக் குறிப்பிடுகிறது.
- conn prodgateway-to-devgateway - இணைப்பு பெயரை வரையறுக்கிறது.
- வகை - இணைப்பு வகையை வரையறுக்கிறது.
- தானாக - IPSec தொடங்கப்படும்போது அல்லது மறுதொடக்கம் செய்யப்படும்போது இணைப்பை எவ்வாறு கையாள்வது.
- keyexchange - பயன்படுத்த IKE நெறிமுறையின் பதிப்பை வரையறுக்கிறது.
- authby - சகாக்கள் ஒருவருக்கொருவர் எவ்வாறு அங்கீகரிக்க வேண்டும் என்பதை வரையறுக்கிறது.
- இடது - இடது பங்கேற்பாளரின் பொது-பிணைய இடைமுகத்தின் ஐபி முகவரியை வரையறுக்கிறது.
- இடதுசப்நெட் - இடது பங்கேற்பாளருக்குப் பின்னால் உள்ள தனியார் சப்நெட்டைக் கூறுகிறது.
- வலது - சரியான பங்கேற்பாளரின் பொது-பிணைய இடைமுகத்தின் ஐபி முகவரியைக் குறிப்பிடுகிறது.
- ரைட்ஸப்நெட் - இடது பங்கேற்பாளரின் பின்னால் உள்ள தனியார் சப்நெட்டைக் கூறுகிறது.
- ike - பயன்படுத்த வேண்டிய IKE/ISAKMP SA குறியாக்கம்/அங்கீகார வழிமுறைகளின் பட்டியலை வரையறுக்கிறது. நீங்கள் கமாவால் பிரிக்கப்பட்ட பட்டியலைச் சேர்க்கலாம்.
- எஸ்பி - இணைப்பிற்குப் பயன்படுத்தப்பட வேண்டிய ஈஎஸ்பி குறியாக்க/அங்கீகார வழிமுறைகளின் பட்டியலை வரையறுக்கிறது. நீங்கள் கமாவால் பிரிக்கப்பட்ட பட்டியலைச் சேர்க்கலாம்.
- ஆக்கிரமிப்பு - ஆக்கிரமிப்பு அல்லது முதன்மை பயன்முறையைப் பயன்படுத்தலாமா என்று கூறுகிறது.
- கீயிங்ரிஸ் - ஒரு இணைப்பைப் பேச்சுவார்த்தை நடத்த முயற்சிக்க வேண்டிய முயற்சிகளின் எண்ணிக்கையைக் கூறுகிறது.
- ikelifetime - ஒரு பேச்சுவார்த்தைக்கு முன்னர் ஒரு இணைப்பின் விசை சேனல் எவ்வளவு காலம் நீடிக்க வேண்டும் என்று கூறுகிறது.
- வாழ்நாள் - ஒரு வெற்றிகரமான பேச்சுவார்த்தை முதல் காலாவதி வரை ஒரு இணைப்பின் ஒரு குறிப்பிட்ட நிகழ்வு எவ்வளவு காலம் நீடிக்க வேண்டும் என்பதை வரையறுக்கிறது.
- dpddelay - R_U_THERE செய்திகள்/தகவல் பரிமாற்றங்கள் சகாக்களுக்கு அனுப்பப்படும் நேர இடைவெளியைக் குறிப்பிடுகிறது. <
- dpdtimeout - காலாவதியான இடைவெளியைக் குறிப்பிடுகிறது, அதன் பிறகு செயலற்ற நிலையில் ஒரு சகாவுக்கான அனைத்து இணைப்புகளும் நீக்கப்படும்.
- dpdaction - இணைப்பை நிர்வகிக்க டெட் பியர் கண்டறிதல் (டிபிடி) நெறிமுறையை எவ்வாறு பயன்படுத்துவது என்பதை வரையறுக்கிறது.
மேலே உள்ள உள்ளமைவு அளவுருக்கள் பற்றிய கூடுதல் தகவலுக்கு, கட்டளையை இயக்குவதன் மூலம் ipsec.conf மேன் பக்கத்தைப் படிக்கவும்.
$ man ipsec.conf
படி 4: பியர்-டு-பியர் அங்கீகாரத்திற்காக PSK ஐ கட்டமைத்தல்
8. இரண்டு பாதுகாப்பு நுழைவாயில்களையும் உள்ளமைத்த பிறகு, பின்வரும் கட்டளையைப் பயன்படுத்தி சகாக்களால் பயன்படுத்த ஒரு பாதுகாப்பான PSK ஐ உருவாக்கவும்.
$ head -c 24 /dev/urandom | base64
9. அடுத்து, இரு நுழைவாயில்களிலும் /etc/ipsec.secrets கோப்பில் PSK ஐச் சேர்க்கவும்.
$ sudo vim /etc/ipsec.secrets
பின்வரும் வரியை நகலெடுத்து ஒட்டவும்.
------- Site 1 Gateway (tecmint-devgateway) ------- 10.20.20.1 10.20.20.3 : PSK "qLGLTVQOfqvGLsWP75FEtLGtwN3Hu0ku6C5HItKo6ac=" ------- Site 2 Gateway (tecmint-prodgateway) ------- 10.20.20.3 10.20.20.1 : PSK "qLGLTVQOfqvGLsWP75FEtLGtwN3Hu0ku6C5HItKo6ac="
10. ஐபிசெக் நிரலை மறுதொடக்கம் செய்து இணைப்புகளைக் காண அதன் நிலையைச் சரிபார்க்கவும்.
$ sudo ipsec restart $ sudo ipsec status
11. இறுதியாக, பிங் கட்டளையை இயக்குவதன் மூலம் பாதுகாப்பு நுழைவாயில்களிலிருந்து தனிப்பட்ட துணை வலைகளை அணுகலாம் என்பதை சரிபார்க்கவும்.
$ ping 192.168.0.101 $ ping 10.0.2.15
12. தவிர, காட்டப்பட்டுள்ளபடி நீங்கள் நிறுத்தி IPSec ஐ தொடங்கலாம்.
$ sudo ipsec stop $ sudo ipsec start
13. கைமுறையாக இணைப்புகளைக் கொண்டுவருவதற்கான IPSec கட்டளைகளைப் பற்றி மேலும் அறிய, IPSec உதவி பக்கத்தைப் பார்க்கவும்.
$ ipsec --help
அவ்வளவுதான்! இந்த கட்டுரையில், உபுண்டு மற்றும் டெபியன் சேவையகங்களில் வலுவான ஸ்வானைப் பயன்படுத்தி ஒரு தளத்திலிருந்து தளத்திற்கு ஐபிசெக் விபிஎனை எவ்வாறு அமைப்பது என்பதை விவரித்தோம், அங்கு இரு பாதுகாப்பு நுழைவாயில்களும் ஒரு பி.எஸ்.கே ஐப் பயன்படுத்தி ஒருவருக்கொருவர் அங்கீகரிக்க கட்டமைக்கப்பட்டன. பகிர்ந்து கொள்ள உங்களுக்கு ஏதேனும் கேள்விகள் அல்லது எண்ணங்கள் இருந்தால், கீழேயுள்ள கருத்து படிவம் வழியாக எங்களை அணுகவும்.