LINUX.ORG.RU
ФорумAdmin

Поднять Ipsec на debian

 ,


1

2

Так как в Украине заблокировали ряд ресурсов,vk,ok и т.д(Жена выела мозг)Пришлось приобрести vps в Роcсии. На котором нужно поднять ipsec,хочу подключаться к нему со своего fortigate 80c и перенаправить заблокированные ресурсы через этот туннель. Но вот с поднятием ipsec не знаком.Подскажите какие пакеты нужны для работы с ipsec и как бы это всё правильно организовать.Спасибо.

неверный src ip в исходящих пакетах при rule based routing
openssl, использование одного rootCA для нескольких серверов
Ответ на: комментарий от mandala

при чём тут https://zaborona.help/ ? fortigate не работает с openvpn/. скорость забороны мне не интересна.

VPS в РФ? Лол ;).

Пьяный?

Если есть у кого советы по первому посту пишите. Только адекваты пожалуйста.

Palamar
() автор топика

Strongswan. Впс надо поднимать в Европе, в России тоже интернет заблокирован.

anonymous
()
Ответ на: комментарий от Palamar

Я тебе лишь посоветовал взять готовое решение и поднять реализацию у себя, а не городить велосипед. Не хочешь, не надо.

Про РФ: не плати за год, бешеный принтер ни кто не отменял, хз какой фортель они завтра выкинут.

Опенвпн тут оверхед.

mandala ★★★★★
()
Ответ на: комментарий от ValdikSS

Спасибо,весь день мучался как раз с этим strongSwan. Наконец-то поднялся туннель.Но когда перенаправляю трафик через туннель,интернет пропадает. Скорее всего на debian машине нужно что то в фаерволе подковырять. Не подскажете а то с iptables не знаком.

Palamar
() автор топика
Ответ на: комментарий от af5

на роутере трафик перенаправил через vpn. а вот на сервере что в маршрут прописать мозг не понимает.


root@ih695314:~# netstat -nr
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         194.67.208.1    0.0.0.0         UG        0 0          0 eth0
194.67.208.0    0.0.0.0         255.255.240.0   U         0 0          0 eth0

root@ih695314:~# ifconfig
eth0      Link encap:Ethernet  HWaddr 52:54:00:37:16:b0  
          inet addr:194.67.223.79  Bcast:194.67.223.255  Mask:255.255.240.0
          inet6 addr: 2a02:f680:1:1102::27f4/64 Scope:Global
          inet6 addr: fe80::5054:ff:fe37:16b0/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1143 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1278 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:122458 (119.5 KiB)  TX bytes:166256 (162.3 KiB)
Palamar
() автор топика
Ответ на: комментарий от af5

я на своём fortigate трафик перенаправил через тунель,но почему то интернет пропадает,думаю возможно на сервер прописать что то нужно?

Palamar
() автор топика
Ответ на: комментарий от Palamar

Если Policy-based то я не подскажу как проверить, если Route-based настроишь то там более простые методы диагностики. Покажи ipsec конфиг фортигейта

af5 ★★★★★
()
Ответ на: комментарий от af5

смогу вечером скинуть,но я думаю что на vps проблема.

Palamar
() автор топика
Ответ на: комментарий от Palamar

Я работал и в результате так и не понял, поднялся он или нет. Заказчик в свое время обязал настроить ipsec, но пользоваться им не обязал (точнее я так и не понял зачем оно было надо)

Повозился в Дебиане прилично, запускаться оно запускалось (я менял настройки, чтоб проверить, что оно не запускается при любых значениях и оно таки не запускалось). Но не могу сказать, было ли оно работоспособным.

Олсо, рекомендую поставить тор и не париться

Nicholass ★★★
()
Ответ на: комментарий от af5

мой конфиг fortigate

config vpn ipsec phase1-interface 
 
FW80CM3910600369 (phase1-interface) # show
config vpn ipsec phase1-interface
    edit "strongswan"
        set interface "wan1"
        set peertype any
        set proposal aes128-sha1
        set dpd disable
        set remote-gw 194.67.223.79
        set psksecret ENC TexPHTmkK3eZCf+bhDLI3AX3IYPPNlJLkZX1q2irJ1mJCoIoUTWcOypyfbU5QAoYNWynoo32RSRsu+Mbu/GEwro7kquTiV/m2WUm1gUFRkpWYrvk8j1JtYzpGB2Qa4e9TMgXCvDvh5ERjABmGYogzDRNbo89yeU3NBCkiZPwZUZaUBB93S2UL3sCbgHl/dj6G78teA==
    next
end

FW80CM3910600369 # config vpn ipsec phase2-interface 
 
FW80CM3910600369 (phase2-interface) # show
config vpn ipsec phase2-interface
    edit "vpn_strongswan"
        set phase1name "strongswan"
        set proposal aes128-sha1
        set pfs disable
        set replay disable
        set auto-negotiate enable
        set keylifeseconds 3600
    next
end
Palamar
() автор топика
Ответ на: комментарий от Palamar

Ok, похоже на Route-based. Еще в интерфейсах фортигейта должен был появиться интерфейс одноименный («strongswan» в твоем случае по идее). Покажи его настройки

af5 ★★★★★
()
Ответ на: комментарий от af5 

    edit "strongswan"

        set vdom "root"

        set distance 5

        set dhcp-relay-service disable

        set ip 0.0.0.0 0.0.0.0

        unset allowaccess

        set arpforward enable

        set broadcast-forward disable

        set bfd global

        set icmp-redirect enable

        set ips-sniffer-mode disable

        set ident-accept disable

        set ipmac disable

        set status up

        set netbios-forward disable

        set wins-ip 0.0.0.0

        set type tunnel

        set netflow-sampler disable

        set sflow-sampler disable

        set scan-botnet-connections disable

        set src-check enable

        set sample-rate 2000

        set polling-interval 20

        set sample-direction both

        set tcp-mss 0

        set inbandwidth 0

        set outbandwidth 0

        set spillover-threshold 0

        set ingress-spillover-threshold 0

        set weight 0

        set external disable

        set remote-ip 0.0.0.0

        set description ''

        set alias ''

        set l2tp-client disable

        set security-mode none

        set fortiheartbeat disable

        set estimated-upstream-bandwidth 0

        set estimated-downstream-bandwidth 0

        set role undefined

        set snmp-index 11

        set preserve-session-route disable

        set auto-auth-extension-device disable

        set ap-discover enable

        config ipv6

            set ip6-mode static

            set nd-mode basic

            unset ip6-allowaccess

            set ip6-reachable-time 0

            set ip6-retrans-time 0

            set ip6-hop-limit 0

            set dhcp6-prefix-delegation disable

            set dhcp6-information-request disable

            set ip6-address ::/0

            set ip6-send-adv disable

            set autoconf disable

            set dhcp6-relay-service disable

        end

        set wccp disable

        set interface "wan1"
Palamar
() автор топика
Ответ на: комментарий от Palamar

Не надо full-configuration, просто show. У тебя там IP не настроены, возьми любые два IP с маской /32 (просто IP, не указывай маску в админке) и пропиши их в set ip и set remote-ip. На дебиане сделай зеркально.

af5 ★★★★★
()
Последнее исправление: af5 (всего исправлений: 2)
Ответ на: комментарий от Palamar

Ну и «set allowaccess ping» не помешает, чтоб дебажить

af5 ★★★★★
()
Последнее исправление: af5 (всего исправлений: 1)

негоже жён-сепарок иметь

Harald ★★★★★
()

ряд ресурсов,vk,ok и т.д(Жена выела мозг)

мозг прошить не пробовал, чтоб не было нужды в трафике к подобным «ресурсам»?

а по теме: почему всех, кому «очень надо», устраивают приложения впн на смартфонах и прокси/впн-плагины в браузерах, а тебе «пришлось» приобрести впс, который ты даже настроить не можешь?

купил бы подписку на любого впн-провайдера и все.

nerve ★★
()
Последнее исправление: nerve (всего исправлений: 1)
Ответ на: комментарий от af5 

 

FW80CM3910600369 (strongswan) # show

config system interface

    edit "strongswan"

        set vdom "root"

        set ip 0.0.0.0 255.255.255.255

        set allowaccess ping

        set type tunnel

        set snmp-index 11

        set interface "wan1"

    next

end

 
FW80CM3910600369 (strongswan) # set ip 194.67.223.79

 

incomplete command in the end

Command fail. Return code -160

 

FW80CM3910600369 (strongswan) # set ip 192.168.100.10

 

incomplete command in the end

Command fail. Return code -160
Palamar
() автор топика
Ответ на: комментарий от af5

так примерно?


config system interface

    edit "strongswan"

        set vdom "root"

        set ip 192.168.100.1 255.255.255.255

        set allowaccess ping

        set type tunnel

        set remote-ip 192.168.99.1

        set snmp-index 11

        set interface "wan1"

    next

end
Palamar
() автор топика
Ответ на: комментарий от Palamar

вот что у меня ipsec.conf на debian


# basic configuration

config setup
        # strictcrlpolicy=yes
        # uniqueids = no

# Add connections here.

conn Fortigate
        type=tunnel
        authby=secret
        keyexchange=ikev2
        auto=start
#   ike=aes128-sha1;modp1024!
        ike=3des-sha1-modp2048
        left=194.67.223.79
        leftsubnet=0.0.0.0/0
        leftfirewall = yes
        right=134.249.78.28
        rightsubnet=0.0.0.0/0
        compress=no
#       pfs=no
        esp=aes128-sha1
#       auth=esp
        keyingtries=%forever
Palamar
() автор топика
Ответ на: комментарий от Palamar

так примерно?

да
Только кажись засада, не могу найти для лебедя конфиг совместимый с фортгейтовским Route-based VPN, видимо нет там туннельного интерфейса как такового, придется делать Policy-based, но про него я не подскажу, не делал.

af5 ★★★★★
()
Ответ на: комментарий от Palamar

ну или попробуй еще параметры ipsec.conf leftsourceip=192.168.99.1 rightsourceip=192.168.100.1 и посмотри, появится ли интерфейс в дебиане

af5 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
неверный src ip в исходящих пакетах при rule based routing
Admin
openssl, использование одного rootCA для нескольких серверов