Tutorial IpSec StrongSwan PPTP no Debian Squeeze
Olá pessoal, sejam bem vindo ao blog da Cuidado Digital.
Nesse tutorial teremos uma vídeo aula do processo de configuração do IpSec StrongSwan no Debian Squeeze usando certificados digitais.
Espero que gostem da vídeo aula, dúvidas, comentários e criticas envie um e-mail para diego@cuidadodigital.com.br
[youtube=http://www.youtube.com/watch?v=pQSbu2B2nP8&feature=plcp&context=C38a7649UDOEgsToPDskIT0aiYgiNDkSqAOtHJIPxQ]
Configuração
apt-get install strongswan ntpdate # ntpdate a.ntp.brConfigurar o OpenSSL
/etc/ssl/openssl.conf e edite as seguintes linhas: dir = /etc/ipsec.d certificate = $dir/cacerts/cacert.pem private_key = $dir/private/cakey.pemCriar os arquivos index.txt e serial
cd /etc/ipsec.d # touch index.txt # touch serial # echo 01 > serialCriar uma autoridade certificadora CA tipo RSA de 2048 bits padrão x509 com 4 anos de duração
# openssl req -x509 -days 1460 -newkey rsa:2048 -keyout private/cakey.pem -out cacerts/cacert.pemPreenchimento das informações do CA
Country Name (2 letter code) [AU]:br State or Province Name (full name) [Some-State]:go Locality Name (eg, city) []:goiania Organization Name (eg, company) [Internet Widgits Pty Ltd]:cuidadodigital Organizational Unit Name (eg, section) []: Common Name (eg, YOUR name) []:Autoridade Certificadora Email Address []:autoridade@cuidadodigital.com.brPreenchimento das informações do Servidor SOL (Matriz)
# openssl req -newkey rsa:1024 -keyout private/servidorkey.pem -out reqs/servidorkey.pem Country Name (2 letter code) [AU]:br State or Province Name (full name) [Some-State]:go Locality Name (eg, city) []:goiania Organization Name (eg, company) [Internet Widgits Pty Ltd]:cuidadodigital Organizational Unit Name (eg, section) []: Common Name (eg, YOUR name) []:servidor Email Address []:servidor@cuidadodigital.com.br Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:Preenchimento das informações do Servidor LUA (Filial)
# openssl req -newkey rsa:1024 -keyout private/clientekey.pem -out reqs/clientekey.pem Country Name (2 letter code) [AU]:br State or Province Name (full name) [Some-State]:go Locality Name (eg, city) []:goiania Organization Name (eg, company) [Internet Widgits Pty Ltd]:cuidadodigital Organizational Unit Name (eg, section) []: Common Name (eg, YOUR name) []:cliente Email Address []:cliente@cuidadodigital.com.br Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []:Fazendo assinaturas das chaves criadas junto com o CA criado anteriormente
# openssl ca -in reqs/servidorkey.pem -days 730 -out certs/servidorcert.pem # openssl ca -in reqs/clientekey.pem -days 730 -out certs/clientecert.pemApós criação de todos os certificados transferir chaves públicas, privadas e CA para o cliente
Utilize o SCP ou outro método de preferência.Configuração do Servidor SOL
# sol /etc/ipsec.conf config setup charondebug="ike 2, knl 3, cfg 0" crlcheckinterval=180 strictcrlpolicy=no plutostart=no conn %default ikelifetime=60m keylife=20m rekeymargin=3m keyingtries=1 keyexchange=ikev2 mobike=no conn servidor left=192.168.32.132 leftsubnet=192.168.100.0/24 leftcert=servidorCert.pem right=192.168.32.133 rightsubnet=192.168.200.0/24 rightid="C=br, ST=go, O=cuidadodigital, CN=cliente, E=diego@cuidadodigital.com.br" auto=add /etc/ipsec.secretes : RSA cliente.pem "1234" : RSA servidor.pem "1234"Configuração do Servidor LUA
# lua /etc/ipsec.conf config setup charondebug="ike 2, knl 3, cfg 0" crlcheckinterval=180 strictcrlpolicy=no plutostart=no conn %default ikelifetime=60m keylife=20m rekeymargin=3m keyingtries=1 keyexchange=ikev2 mobike=no conn servidor left=192.168.32.133 leftsubnet=192.168.200.0/24 leftcert=clienteCert.pem right=192.168.32.132 rightsubnet=192.168.100.0/24 rightid="C=br, ST=go, O=cuidadodigital, CN=servidor, E=diego@cuidadodigital.com.br" auto=add /etc/ipsec.secrets : RSA cliente.pem "1234" : RSA servidor.pem "1234"[ad] [ad] [ad] [ad]