Configuração de VPN para linux na NuvemUSP

De Infraestrutura São Carlos
Ir para navegação Ir para pesquisar

Objetivo

Instalar um tunel VPN para acesso aos servidores hospedados na nuvem USP.

Requisitos

Server: Servidor Debian minimo, com duas placas de rede, uma na rede com direcionamento de porta do ip publico e outra com ip na rede dos servidores.

Procedimentos

Servidor e Clientes

  • Sistema operacional linux
  1. Instalar o sistema
  2. Atualizar:
    apt update && sudo apt upgrade -y
  3. Instalar o strongswan:
    apt install strongswan -y

Detalhes

Dados Servidor:
IP Externo: xxx.xxx.xxx.120
IP Interno VMs: 10.2.0.0/22
Dados Cliente1:
IP Externo: 143.xxx.xxx.1
IP Interno VMs: 192.168.0.0/24
Dados Cliente2:
IP Externo: 143.xxx.xxx.2
IP Interno VMs: 192.168.1.0/24

Servidor

  • Seguir os seguinte passos:
  1. Acertar o redirecionamento no SO:
    cat >> /etc/sysctl.conf << EOF
    echo net.ipv4.ip_forward = 1 
    net.ipv4.conf.all.accept_redirects = 0 
    net.ipv4.conf.all.send_redirects = 0
    EOF
    
    sysctl -p /etc/sysctl.conf
  2. Instalar a chave para acesso:
    cat /etc/ipsec.secrets
    • Com o seguinte conteúdo:
    # source      destination
    xxx.xxx.xxx.120 143.xxx.xxx.1 : PSK "chaveaserutilizada"
    xxx.xxx.xxx.120 143.xxx.xxx.2 : PSK "chaveaserutilizada"
    
  3. Confirugar o arquivo:
    cat /etc/ipsec.conf
    • Com o seguinte conteúdo:
    # basic configuration
    config setup
            charondebug="all"
            uniqueids=yes
            strictcrlpolicy=no
    
    # connection to servidor
    conn servidor-cliente1
      authby=secret
      left=%defaultroute
      leftid=xxx.xxx.xxx.120
      leftsubnet=10.2.0.0/22
      right=143.xxx.xxx.1
      rightsubnet=192.168.0.0/24
      ike=aes256-sha2_256-modp1024!
      esp=aes256-sha2_256!
      keyingtries=0
      ikelifetime=1h
      lifetime=8h
      dpddelay=30
      dpdtimeout=120
      dpdaction=restart
      auto=start
    
    # connection to servidor
    conn servidor-cliente2
      authby=secret
      left=%defaultroute
      leftid=xxx.xxx.xxx.120
      leftsubnet=10.2.0.0/22
      right=143.xxx.xxx.2
      rightsubnet=192.168.1.0/24
      ike=aes256-sha2_256-modp1024!
      esp=aes256-sha2_256!
      keyingtries=0
      ikelifetime=1h
      lifetime=8h
      dpddelay=30
      dpdtimeout=120
      dpdaction=restart
      auto=start
    
  4. Alterar a regra no firewall para redirecionamento:
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 10.2.0.0/22 -j MASQUERADE
    

Cliente 1

  • Seguir os seguinte passos:
  1. Instalar a chave para acesso:
    cat /etc/ipsec.secrets
    • Com o seguinte conteúdo:
    # source      destination
    143.xxx.xxx.1 xxx.xxx.xxx.120 : PSK "chaveaserutilizada"
    
  2. Confirugar o arquivo:
    cat /etc/ipsec.conf
    • Com o seguinte conteúdo:
    # basic configuration
    config setup
            charondebug="all"
            uniqueids=yes
            strictcrlpolicy=no
    
    # connection to servidor
    conn cliente1-servidor
      authby=secret
      left=%defaultroute
      leftid=143.xxx.xxx.1
      leftsubnet=192.168.0.0/24
      right=xxx.xxx.xxx.120
      rightsubnet=10.2.0.0/22
      ike=aes256-sha2_256-modp1024!
      esp=aes256-sha2_256!
      keyingtries=0
      ikelifetime=1h
      lifetime=8h
      dpddelay=30
      dpdtimeout=120
      dpdaction=restart
      auto=start
    
    
  3. Alterar a regra no firewall para redirecionamento:
    iptables -t nat -A POSTROUTING -s 10.2.0.0/22 -d 192.168.0.0/24 -j MASQUERADE
    

Cliente 2

  • Seguir os seguinte passos:
  1. Instalar a chave para acesso:
    cat /etc/ipsec.secrets
    • Com o seguinte conteúdo:
    # source      destination
    143.xxx.xxx.2 xxx.xxx.xxx.120 : PSK "chaveaserutilizada"
    
  2. Confirugar o arquivo:
    cat /etc/ipsec.conf
    • Com o seguinte conteúdo:
    # basic configuration
    config setup
            charondebug="all"
            uniqueids=yes
            strictcrlpolicy=no
    
    # connection to servidor
    conn cliente2-servidor
      authby=secret
      left=%defaultroute
      leftid=143.xxx.xxx.2
      leftsubnet=192.168.1.0/24
      right=xxx.xxx.xxx.120
      rightsubnet=10.2.0.0/22
      ike=aes256-sha2_256-modp1024!
      esp=aes256-sha2_256!
      keyingtries=0
      ikelifetime=1h
      lifetime=8h
      dpddelay=30
      dpdtimeout=120
      dpdaction=restart
      auto=start
    
    
  3. Alterar a regra no firewall para redirecionamento:
    iptables -t nat -A POSTROUTING -s 10.2.0.0/22 -d 192.168.0.0/24 -j MASQUERADE
    

Comandos

Servidor e Clientes

  1. Iniciar a VPN:
    ipsec restart
  2. Habilitar na inicialização:
    systemctl enable strongswan
  3. Comandos úteis:
    • Status
    ipsec status


Troubleshooting

Referências