Configuração de VPN para linux na NuvemUSP
Ir para navegação
Ir para pesquisar
Objetivo
Instalar um tunel VPN para acesso aos servidores hospedados na nuvem USP.
Requisitos
Server: Servidor Debian minimo, com duas placas de rede, uma na rede com direcionamento de porta do ip publico e outra com ip na rede dos servidores.
Procedimentos
Servidor e Clientes
- Sistema operacional linux
- Instalar o sistema
- Atualizar:
apt update && sudo apt upgrade -y
- Instalar o strongswan:
apt install strongswan -y
Detalhes
Dados Servidor: IP Externo: xxx.xxx.xxx.120 IP Interno VMs: 10.2.0.0/22
Dados Cliente1: IP Externo: 143.xxx.xxx.1 IP Interno VMs: 192.168.0.0/24
Dados Cliente2: IP Externo: 143.xxx.xxx.2 IP Interno VMs: 192.168.1.0/24
Servidor
- Seguir os seguinte passos:
- Acertar o redirecionamento no SO:
cat >> /etc/sysctl.conf << EOF echo net.ipv4.ip_forward = 1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 EOF
sysctl -p /etc/sysctl.conf
- Instalar a chave para acesso:
cat /etc/ipsec.secrets
- Com o seguinte conteúdo:
# source destination xxx.xxx.xxx.120 143.xxx.xxx.1 : PSK "chaveaserutilizada" xxx.xxx.xxx.120 143.xxx.xxx.2 : PSK "chaveaserutilizada"
- Confirugar o arquivo:
cat /etc/ipsec.conf
- Com o seguinte conteúdo:
# basic configuration config setup charondebug="all" uniqueids=yes strictcrlpolicy=no # connection to servidor conn servidor-cliente1 authby=secret left=%defaultroute leftid=xxx.xxx.xxx.120 leftsubnet=10.2.0.0/22 right=143.xxx.xxx.1 rightsubnet=192.168.0.0/24 ike=aes256-sha2_256-modp1024! esp=aes256-sha2_256! keyingtries=0 ikelifetime=1h lifetime=8h dpddelay=30 dpdtimeout=120 dpdaction=restart auto=start # connection to servidor conn servidor-cliente2 authby=secret left=%defaultroute leftid=xxx.xxx.xxx.120 leftsubnet=10.2.0.0/22 right=143.xxx.xxx.2 rightsubnet=192.168.1.0/24 ike=aes256-sha2_256-modp1024! esp=aes256-sha2_256! keyingtries=0 ikelifetime=1h lifetime=8h dpddelay=30 dpdtimeout=120 dpdaction=restart auto=start - Alterar a regra no firewall para redirecionamento:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 10.2.0.0/22 -j MASQUERADE
Cliente 1
- Seguir os seguinte passos:
- Instalar a chave para acesso:
cat /etc/ipsec.secrets
- Com o seguinte conteúdo:
# source destination 143.xxx.xxx.1 xxx.xxx.xxx.120 : PSK "chaveaserutilizada"
- Confirugar o arquivo:
cat /etc/ipsec.conf
- Com o seguinte conteúdo:
# basic configuration config setup charondebug="all" uniqueids=yes strictcrlpolicy=no # connection to servidor conn cliente1-servidor authby=secret left=%defaultroute leftid=143.xxx.xxx.1 leftsubnet=192.168.0.0/24 right=xxx.xxx.xxx.120 rightsubnet=10.2.0.0/22 ike=aes256-sha2_256-modp1024! esp=aes256-sha2_256! keyingtries=0 ikelifetime=1h lifetime=8h dpddelay=30 dpdtimeout=120 dpdaction=restart auto=start - Alterar a regra no firewall para redirecionamento:
iptables -t nat -A POSTROUTING -s 10.2.0.0/22 -d 192.168.0.0/24 -j MASQUERADE
Cliente 2
- Seguir os seguinte passos:
- Instalar a chave para acesso:
cat /etc/ipsec.secrets
- Com o seguinte conteúdo:
# source destination 143.xxx.xxx.2 xxx.xxx.xxx.120 : PSK "chaveaserutilizada"
- Confirugar o arquivo:
cat /etc/ipsec.conf
- Com o seguinte conteúdo:
# basic configuration config setup charondebug="all" uniqueids=yes strictcrlpolicy=no # connection to servidor conn cliente2-servidor authby=secret left=%defaultroute leftid=143.xxx.xxx.2 leftsubnet=192.168.1.0/24 right=xxx.xxx.xxx.120 rightsubnet=10.2.0.0/22 ike=aes256-sha2_256-modp1024! esp=aes256-sha2_256! keyingtries=0 ikelifetime=1h lifetime=8h dpddelay=30 dpdtimeout=120 dpdaction=restart auto=start - Alterar a regra no firewall para redirecionamento:
iptables -t nat -A POSTROUTING -s 10.2.0.0/22 -d 192.168.0.0/24 -j MASQUERADE
Comandos
Servidor e Clientes
- Iniciar a VPN:
ipsec restart
- Habilitar na inicialização:
systemctl enable strongswan
- Comandos úteis:
- Status
ipsec status