Бруй В.В., Карлов С.В. - Linux-сервер - пошаговые инструкции - инсталляции и настройки (1077321), страница 82
Текст из файла (страница 82)
Открытые ключи содержатся в файле /root/moscow-key:# RSA 1024 bitsdrwalbr.undMon Mar 10 17:41:55 2003# for signatures only, UNSAFE FOR ENCRYPTION#pubkey=0sAQN/KebjvkF/xc7IdhwJA/46FhuHvn1bU7UGbCwohsCttWoidHbO8pPDTmR8fwRNKqcHTSkp5hiGr6CFXHVZ/5bmuqYb9Xv58/dUCqf6sHUbyTSseRjTv4+RcI4YYaxcrf51ZG5DaZJa8RKDxsIfLF2jcG9IUzDOPSfYXpUo0gsQJQ==#IN KEY 0x4200 4 1AQN/KebjvkF/xc7IdhwJA/46FhuHvn1bU7UGbCwohsCttWoidHbO8pPDTmR8fwRNKqcHTSkp5hiGr6CFXHVZ/5bmuqYb9Xv58/dUCqf6sHUbyTSseRjTv4+RcI4YYaxcrf51ZG5DaZJa8RKDxsIfLF2jcG9IUzDOPSfYXpUo0gsQJQ==# (0x4200 = auth-only host-level, 4 = IPSec, 1 = RSA)Modulus:0x7f29e6e3be417fc5cec8761c0903fe3a161b87be7d5b53b5066c2c2886c0adb56a227476cef293c34e647c7f044d2aa7074d2929e61886afa0855c7559ff96e6baa61bf57bf9f3f7540aa7fab0751bc934ac7918d3bf8f91708e1861ac5cadfe75646e4369925af11283c6c21f2c5da3706f485330ce3d27d85e9528d20b1025358Часть 6.
Программное обеспечение для организации шлюзаPublicExponent: 0x03# everything after this point is secretPrivateExponent:0x1531a67b4a603ff64d216904ac2b5509ae59ebf514e48df38112075c16757248e705be13cd286df5e26614bfd60cdc712be23186fbaec11d456b8f68e45543d0e28f25720c0012db035b0b89e8e174e1b73831fe4ee39184e6c193df049b9b7d98b1b069ab4dda5dd8cdfb8b78a4d89c912ddb363f11c71d5f93a253472c5aabPrime1:0xcaa9ed7a02b9f0f252990304950d8b819c6e323e5062e9fa36d4843d8b07ca98d1c2fbcd0ecc6104498fcfb864e0d1793f04cc6270e7ff940f85a1da43704801Prime2:0xa0a14dcf313f91e2ed4f5fbaa61ed2fd4ced1ae4aa073c79d1301cea05af3e740f774ffc56f2dbb9b42011c4e66e787eca5758ab457b92e38b63255ae390a825Exponent1:0x871bf3a6ac7bf5f6e1bb5758635e5d0112f4217ee041f15179e302d3b20531bb3681fd335f32eb58310a8a7aedeb3650d4addd96f5efffb80a591691824adaabExponent2:0x6b1633df762a6141f38a3fd1c4148ca8ddf367431c04d2fbe0cabdf1591f7ef80a4f8aa839f73d267815612deef4505486e4e5c783a7b7425cecc391ed0b1ac3Coefficient:0xc29527035094a396b88b7bb586ee1add3086689060ff20e4f29277681309f2cd887263a7a72867eeb7757a5f53a3803e33b1bea237c92a6104abdf9fdfbff157и в файле/root/yubileyny-key:# RSA 1024 bitsdrwalbr.undMon Mar 10 17:43:07 2003# for signatures only, UNSAFE FOR ENCRYPTION#pubkey=0sAQPBVNukXMmREo55ChGtFKj+64+TW1P1lqSZtI8+WEvVAu2ua0Pdxz39Wpw4zxtO+RzRCUljwoeEWu4KBXJa9uqtTtBtfN7inMz2KhF0wxugE3B+PC19WdcL3YU1P8pYAvtwjMk/GHi3STbza8+IxDRewV4klEDTHvNgL3E/ReJcuw==#IN KEY 0x4200 4 1AQPBVNukXMmREo55ChGtFKj+64+TW1P1lqSZtI8+WEvVAu2ua0Pdxz39Wpw4zxtO+RzRCUljwoeEWu4KBXJa9uqtTtBtfN7inMz2KhF0wxugE3B+PC19WdcL3YU1P8pYAvtwjMk/GHi3STbza8+IxDRewV4klEDTHvNgL3E/ReJcuw==# (0x4200 = auth-only host-level, 4 = IPSec, 1 = RSA)Modulus:0xc154dba45cc991128e790a11ad14a8feeb8f935b53f596a499b48f3e584bd502edae6b43ddc73dfd5a9c38cf1b4ef91cd1094963c287845aee0a05725af6eaad4ed06d7cdee29cccf62a1174c31ba013707e3c2d7d59d70bdd85353fca5802fb708cc93f1878b74936f36bcf88c4345ec15e249440d31ef3602f713f45e25cbbPublicExponent: 0x03# everything after this point is secretPrivateExponent:0x015f035f93b8ce3127235ad9ff697394df2c97bd786cdcc19f0c2c97231f672f39f828b439db4910525841c3bd0430f8f12460bf588750d3413bfc684ce68463425eb7a25e6a719f82328b396297c421641b80d6d03e6fa02daaa948a614d712ffeae3f7782709de6ebb809492aa5c1d5d0eb545b1bf68fde29ffe819543c29bPrime1:0xfd1877406f2f1d7e72fe0f87b5bca2efee80c6306865b48a5d9da420720d5ecf1f97bef0b39e7cd0a57e0a51cac82aaffb1e096d0b5e55734b9546cd37f13f59Prime2:0xc38cd1ce6f12ea73cd555351bfc7f6bf5ed77fac6290a74858e8541bded02eb55c957b013759caf5942f8fa8f6274d82852643c44f07f5aa427afd12d79eee33Exponent1:0xa8bafa2af4ca13a9a1feb50523d3174a9f00842045992306e913c2c04c08e9df6a6529f5cd145335c3a95c3687301c7552140648b23ee3a232638488cff62a3bExponent2:0x825de1344a0c9c4d338e378bd52ff9d4e9e4ffc841b5c4dae5f03812948ac9ce3db8fcab7a3bdca3b81fb51b4ec4de57036ed7d834aff91c2c51fe0c8fbf4977Coefficient:0x0b474a89523b664841d5332d57588a6e31a602d59570d615bcf3728f9c9e403fa19b4c8e8d7a9c32c02c076d7f4fda73341978746da9e411766a622b4d586210Вставьте открытые ключи в файлы /root/moscow-key и /root/yubileyny-key.
В файле/etc/ipsec.conf замените строку:Глава 26. Виртуальные частные сети, VPN359leftrsasigkey=<Public key of 212.45.28.123>на:leftrsasigkey="0sAQN/KebjvkF/xc7IdhwJA/46FhuHvn1bU7UGbCwohsCttWoidHbO8pPDTmR8fwRNKqcHTSkp5hiGr6CFXHVZ/5bmuqYb9Xv58/dUCqf6sHUbyTSseRjTv4+RcI4YYaxcrf51ZG5DaZJa8RKDxsIfLF2jcG9IUzDOPSfYXpUo0gsQJQ=="строку:rightrsasigkey=<Public key of 212.111.80.21>на:rightrsasigkey="0sAQPBVNukXMmREo55ChGtFKj+64+TW1P1lqSZtI8+WEvVAu2ua0Pdxz39Wpw4zxtO+RzRCUljwoeEWu4KBXJa9uqtTtBtfN7inMz2KhF0wxugE3B+PC19WdcL3YU1P8pYAvtwjMk/GHi3STbza8+IxDRewV4klEDTHvNgL3E/ReJcuw=="ЗАМЕЧАНИЕ Значения ключей должны быть заключены в кавычки.Поместите закрытые ключи в файлы /etc/ipsec.secrets на обоих шлюзах.На шлюзе 212.45.28.123 файл /etc/ipsec.secrets отредактируйте следующим образом:212.45.28.123 212.111.80.21: RSA {Modulus:0x7f29e6e3be417fc5cec8761c0903fe3a161b87be7d5b53b5066c2c2886c0adb56a227476cef293c34e647c7f044d2aa7074d2929e61886afa0855c7559ff96e6baa61bf57bf9f3f7540aa7fab0751bc934ac7918d3bf8f91708e1861ac5cadfe75646e4369925af11283c6c21f2c5da3706f485330ce3d27d85e9528d20b1025PublicExponent: 0x03# everything after this point is secretPrivateExponent:0x1531a67b4a603ff64d216904ac2b5509ae59ebf514e48df38112075c16757248e705be13cd286df5e26614bfd60cdc712be23186fbaec11d456b8f68e45543d0e28f25720c0012db035b0b89e8e174e1b73831fe4ee39184e6c193df049b9b7d98b1b069ab4dda5dd8cdfb8b78a4d89c912ddb363f11c71d5f93a253472c5aabPrime1:0xcaa9ed7a02b9f0f252990304950d8b819c6e323e5062e9fa36d4843d8b07ca98d1c2fbcd0ecc6104498fcfb864e0d1793f04cc6270e7ff940f85a1da43704801Prime2:0xa0a14dcf313f91e2ed4f5fbaa61ed2fd4ced1ae4aa073c79d1301cea05af3e740f774ffc56f2dbb9b42011c4e66e787eca5758ab457b92e38b63255ae390a825Exponent1:0x871bf3a6ac7bf5f6e1bb5758635e5d0112f4217ee041f15179e302d3b20531bb3681fd335f32eb58310a8a7aedeb3650d4addd96f5efffb80a591691824adaabExponent2:0x6b1633df762a6141f38a3fd1c4148ca8ddf367431c04d2fbe0cabdf1591f7ef80a4f8aa839f73d267815612deef4505486e4e5c783a7b7425cecc391ed0b1ac3Coefficient:0xc29527035094a396b88b7bb586ee1add3086689060ff20e4f29277681309f2cd887263a7a72867eeb7757a5f53a3803e33b1bea237c92a6104abdf9fdfbff157}На шлюзе 212.111.80.21 файл /etc/ipsec.secrets отредактируйте следующим образом:212.45.28.123 212.111.80.21: RSA {Modulus:0xc154dba45cc991128e790a11ad14a8feeb8f935b53f596a499b48f3e584bd502edae6b43ddc73dfd5a9c38cf1b4ef91cd1094963c287845aee0a05725af6eaad4ed06d7cdee29cccf62a1174c31ba013707e3c2d7d59d70bdd85353fca5802fb708cc93f1878b74936f36bcf88c4345ec15e249440d31ef3602f713f45e25cbbPublicExponent: 0x03# everything after this point is secretPrivateExponent:0x015f035f93b8ce3127235ad9ff697394df2c97bd786cdcc19f0c2c97231f672f39f828b439db4910525841c3bd0430f8f12460bf588750d3413bfc684ce68463425eb7a25e6a719f360Часть 6.
Программное обеспечение для организации шлюза82328b396297c421641b80d6d03e6fa02daaa948a614d712ffeae3f7782709de6ebb809492aa5c1d5d0eb545b1bf68fde29ffe819543c29bPrime1:0xfd1877406f2f1d7e72fe0f87b5bca2efee80c6306865b48a5d9da420720d5ecf1f97bef0b39e7cd0a57e0a51cac82aaffb1e096d0b5e55734b9546cd37f13f59Prime2:0xc38cd1ce6f12ea73cd555351bfc7f6bf5ed77fac6290a74858e8541bded02eb55c957b013759caf5942f8fa8f6274d82852643c44f07f5aa427afd12d79eee33Exponent1:0xa8bafa2af4ca13a9a1feb50523d3174a9f00842045992306e913c2c04c08e9df6a6529f5cd145335c3a95c3687301c7552140648b23ee3a232638488cff62a3bExponent2:0x825de1344a0c9c4d338e378bd52ff9d4e9e4ffc841b5c4dae5f03812948ac9ce3db8fcab7a3bdca3b81fb51b4ec4de57036ed7d834aff91c2c51fe0c8fbf4977Coefficient:0x0b474a89523b664841d5332d57588a6e31a602d59570d615bcf3728f9c9e403fa19b4c8e8d7a9c32c02c076d7f4fda73341978746da9e411766a622b4d586210}Шаг 3На обоих шлюзах в файлах /etc/sysctl.conf измените или проверьте наличие строки:net.ipv4.ip_forward = 1Для вступления изменений в силу перезагрузите сеть:[root@yubileyny /]# /etc/init.d/network restartДеактивируется интерфейс eth0:[ОК]Деактивируется интерфейс-петля:[ОК]Устанавливаются параметры сети:[ОК]Активируется интерфейс loopback:[ОК]Активируется интерфейс eth0:[ОК]или выполните команду, что не потребует перезагрузки:[root@yubileyny /]# sysctl –w IP_forward =1Шаг 4Настройте систему сетевой защиты, руководствуясь рекомендациями глав 9 и 10.Система сетевой защиты, как минимум, должна иметь правила, разрешающие:• поддержку канала обмена ключами (работу демона pluto) – порт 500, протокол UDP;• поддержку шифрования данных по протоколу ESP – протокол 50;• поддержку протокола контроля целостности и аутентификации по протоколу AH – протокол 51.Для реализации этих правил, если вы используете систему сетевой защиты IPTables, в стартовыйскрипт iptables нужно добавить строки:# allow IPsec## Канал обмена ключамиiptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPTiptables -A OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT# Шифрование данных по протоколу ESPiptables -A INPUT -p 50 -j ACCEPTiptables -A OUTPUT -p 50 -j ACCEPT# Контроль за целостностью и аутентичностью данных по протоколу AHiptables -A INPUT -p 51 -j ACCEPTiptables -A OUTPUT -p 51 -j ACCEPTШаг 5Для нормальной работы IPSec на обоих шлюзах должна быть выключена подсистема rp_filter,используемая для защиты от подмены IP-адреса.
Для этого на каждом из шлюзов выполните:[root@yubileyny /]# echo 0 > /proc/sys/net/ipv4/conf/IPSEC0/rp_filter[root@yubileyny /]# echo 0 > /proС/sys/net/ipv4/conf/eth0/rp_filterДля того, чтобы требуемое значение параметра устанавливалось автоматически при загрузке системы,добавьте в файлы /etc/rc.d/init.d/iptables на каждом из шлюзов следующие строки:# Disable IP spoofing protection to allow IPSEC to work properlyГлава 26. Виртуальные частные сети, VPN361echo 0 > /proc/sys/net/ipv4/conf/IPSEC0/rp_filterecho 0 > /proc/sys/net/ipv4/conf/eth0/rp_filterВ противном случае в файл /var/log/messagess будут выданы следующие сообщения:Мар 10 17:24:40 moscow ipsec: ipsec_setup: WARNING: eth0 has route filtering turned on, KLIPS may not workМар 10 17:24:40 moscow ipsec_setup:(/proc/sys/net/ipv4/conf/eth0/rp_filter = `1', should be 0)Тестирование FreeS/WANШаг 1Перезагрузите оба шлюза, чтобы запустить FreeS/WAN.Шаг 2Проверьте отсутствие ошибок в файлах регистрации на каждом из шлюзов.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
