Tutorial IpSec StrongSwan PPTP no Debian Squeeze

porDiego Elcain

Tutorial IpSec StrongSwan PPTP no Debian Squeeze

Olá pessoal, sejam bem vindo ao blog da Cuidado Digital.

Nesse tutorial teremos uma vídeo aula do processo de configuração do IpSec StrongSwan no Debian Squeeze usando certificados digitais.

Espero que gostem da vídeo aula, dúvidas, comentários e criticas envie um e-mail para diego@cuidadodigital.com.br

[youtube=http://www.youtube.com/watch?v=pQSbu2B2nP8&feature=plcp&context=C38a7649UDOEgsToPDskIT0aiYgiNDkSqAOtHJIPxQ]

Configuração

apt-get install strongswan ntpdate

# ntpdate a.ntp.br

Configurar o OpenSSL

/etc/ssl/openssl.conf e edite as seguintes linhas:
dir = /etc/ipsec.d
certificate = $dir/cacerts/cacert.pem
private_key = $dir/private/cakey.pem

Criar os arquivos index.txt e serial

cd /etc/ipsec.d
# touch index.txt
# touch serial
# echo 01 > serial

Criar uma autoridade certificadora CA tipo RSA de 2048 bits padrão x509 com 4 anos de duração

# openssl req -x509 -days 1460 -newkey rsa:2048 -keyout private/cakey.pem -out cacerts/cacert.pem

Preenchimento das informações do CA

Country Name (2 letter code) [AU]:br
State or Province Name (full name) [Some-State]:go
Locality Name (eg, city) []:goiania
Organization Name (eg, company) [Internet Widgits Pty Ltd]:cuidadodigital
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:Autoridade Certificadora
Email Address []:autoridade@cuidadodigital.com.br

Preenchimento das informações do Servidor SOL (Matriz)

# openssl req -newkey rsa:1024 -keyout private/servidorkey.pem -out reqs/servidorkey.pem

Country Name (2 letter code) [AU]:br
State or Province Name (full name) [Some-State]:go
Locality Name (eg, city) []:goiania
Organization Name (eg, company) [Internet Widgits Pty Ltd]:cuidadodigital
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:servidor
Email Address []:servidor@cuidadodigital.com.br

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Preenchimento das informações do Servidor LUA (Filial)

# openssl req -newkey rsa:1024 -keyout private/clientekey.pem -out reqs/clientekey.pem

Country Name (2 letter code) [AU]:br
State or Province Name (full name) [Some-State]:go
Locality Name (eg, city) []:goiania
Organization Name (eg, company) [Internet Widgits Pty Ltd]:cuidadodigital
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:cliente
Email Address []:cliente@cuidadodigital.com.br

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Fazendo assinaturas das chaves criadas junto com o CA criado anteriormente

# openssl ca -in reqs/servidorkey.pem -days 730 -out certs/servidorcert.pem
# openssl ca -in reqs/clientekey.pem -days 730 -out certs/clientecert.pem

Após criação de todos os certificados transferir chaves públicas, privadas e CA para o cliente

Utilize o SCP ou outro método de preferência.

Configuração do Servidor SOL

# sol
/etc/ipsec.conf
config setup
charondebug=”ike 2, knl 3, cfg 0″
crlcheckinterval=180
strictcrlpolicy=no
plutostart=no

conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyingtries=1
keyexchange=ikev2
mobike=no

conn servidor
left=192.168.32.132
leftsubnet=192.168.100.0/24
leftcert=servidorCert.pem
right=192.168.32.133
rightsubnet=192.168.200.0/24
rightid=”C=br, ST=go, O=cuidadodigital, CN=cliente, E=diego@cuidadodigital.com.br”
auto=add

/etc/ipsec.secretes
: RSA cliente.pem “1234”
: RSA servidor.pem “1234”

Configuração do Servidor LUA

# lua
/etc/ipsec.conf
config setup
charondebug=”ike 2, knl 3, cfg 0″
crlcheckinterval=180
strictcrlpolicy=no
plutostart=no

conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyingtries=1
keyexchange=ikev2
mobike=no

conn servidor
left=192.168.32.133
leftsubnet=192.168.200.0/24
leftcert=clienteCert.pem
right=192.168.32.132
rightsubnet=192.168.100.0/24
rightid=”C=br, ST=go, O=cuidadodigital, CN=servidor, E=diego@cuidadodigital.com.br”
auto=add

/etc/ipsec.secrets
: RSA cliente.pem “1234”
: RSA servidor.pem “1234”

Sobre o Autor

Diego Elcain administrator