Openswan - Configurando uma conexão VPN Site-to-Site e simulando com GNS3

sergeimartao

O Openswan é uma ferramenta indispensável para conectar dois sites de forma segura através da internet. Nesse artigo além de mostrar a instalação e configuração do Openswan no Debian Jessie, será simulado todo o ambiente utilizando o GNS3.

[ Hits: 18.428 ]

Por: Sergei Martao em 23/11/2015

5 0
Denuncie   Favoritos   Indicar   Impressora

Configurando VMs e host hospedeiro



Aqui estão todas as configurações utilizadas nas VMs e no host hospedeiro para deixar o ambiente do GNS3 funcional:

Host: D8-SRV02

Editar o arquivo interfaces:

# vim /etc/network/interfaces

Deixar com o seguinte conteúdo:

# IP da eth0
allow-hotplug eth0
iface eth0 inet static
address 172.16.10.150
netmask 255.255.255.0
gateway 172.16.10.254

Host: D8-FW02

Editar arquivo interfaces:

# vim /etc/network/interfaces

Deixar com o seguinte conteúdo:

# Rede de servidores
allow-hotplug eth0
iface eth0 inet static
address 172.16.10.254
netmask 255.255.255.0

# Rede de desktops
allow-hotplug eth1
iface eth1 inet static
address 172.16.0.254
netmask 255.255.255.0

# Rede WAN
allow-hotplug eth2
iface eth2 inet static
address 201.27.8.2
netmask 255.255.255.252
gateway 201.27.8.1

Criar script de iptables fwregras.sh:

# vim /usr/local/bin/fwregras.sh

Adicionar o seguinte conteúdo:

#!/bin/bash
# Permitir a passagem de pacotes pelo firewall
echo 1 > /proc/sys/net/ipv4/ip_forward

# Limpar as regras anteriores de NAT, caso o script seja executado mais de uma vez
iptables -t nat -F

# Permitir a passagem dos IPs privados sem entrar no NAT
iptables -t nat -A POSTROUTING -d 10.0.0.0/8 -o eth2 -j ACCEPT
iptables -t nat -A POSTROUTING -d 172.16.0.0/12 -o eth2 -j ACCEPT
iptables -t nat -A POSTROUTING -d 192.168.0.0/16 -o eth2 -j ACCEPT

# NAT para qualquer IP de origem da rede interna
iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -o eth2 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 172.16.10.0/24 -o eth2 -j MASQUERADE

Alterar permissão do script fwregras.sh:

# chmod 755 /usr/local/bin/fwregras.sh

Configurar script para iniciar junto com o sistema, editando o arquivo rc.local:

# vim /etc/rc.local

Deixar com o seguinte conteúdo:

/usr/local/bin/fwregras.sh
exit 0

Host: D8-FW01

Editar o arquivo interfaces:

# vim /etc/network/interfaces

Deixar com o seguinte conteúdo:

# Rede de servidores
allow-hotplug eth0
iface eth0 inet static
address 192.168.0.254
netmask 255.255.255.0

# Rede WAN
allow-hotplug eth1
iface eth1 inet static
address 187.8.230.2
netmask 255.255.255.252
gateway 187.8.230.1

Criar script de iptables fwregras.sh:

# vim /usr/local/bin/fwregras.sh

Adicionar o seguinte conteúdo:

# Permitir a passagem de pacotes pelo firewall
echo 1 > /proc/sys/net/ipv4/ip_forward

# Limpar as regras anteriores de NAT, caso o script seja executado mais de uma vez
iptables -t nat -F

# Permitir a passagem dos IPs privados sem entrar no NAT
iptables -t nat -A POSTROUTING -d 10.0.0.0/8 -o eth1 -j ACCEPT
iptables -t nat -A POSTROUTING -d 172.16.0.0/12 -o eth1 -j ACCEPT
iptables -t nat -A POSTROUTING -d 192.168.0.0/16 -o eth1 -j ACCEPT

# NAT para qualquer IP de origem da rede interna
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

Alterar permissão do script fwregras.sh:

# chmod 755 /usr/local/bin/fwregras.sh

Configurar script para iniciar junto com o sistema, editando o arquivo rc.local:

# vim /etc/rc.local

Deixar com o seguinte conteúdo:

/usr/local/bin/fwregras.sh
exit 0

Host: D8-SRV01

Editar o arquivo interfaces:

# vim /etc/network/interfaces

Deixar com o seguinte conteúdo:

# IP da eth0
allow-hotplug eth0
iface eth0 inet static
address 192.168.0.250
netmask 255.255.255.0
gateway 192.168.0.254

Host: D8-BB01

Editar o arquivo interfaces:

# vim /etc/network/interfaces

Deixar com o seguinte conteúdo:

# Rede para saída da internet
allow-hotplug eth0
iface eth0 inet static
address 177.8.8.2
netmask 255.255.255.252
gateway 177.8.8.1

# Bloqueando o roteamento de IPs privados
up route add -net 10.0.0.0/8 reject
up route add -net 172.16.0.0/12 reject
up route add -net 192.168.0.0/16 reject

# Rede do Site-B
allow-hotplug eth1
iface eth1 inet static
address 187.8.230.0
netmask 255.255.255.252

# Rede do Site-A
allow-hotplug eth0
iface eth0 inet static
address 201.27.8.0
netmask 255.255.255.252

Criar script de iptables fwregras.sh:

# vim /usr/local/bin/fwregras.sh

Adicionar o seguinte conteúdo.

#!/bin/bash
# Permitir a passagem de pacotes pelo firewall
echo 1 > /proc/sys/net/ipv4/ip_forward

# NAT necessário para a comunicação funcionar com a interface tuntap
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Alterar permissão do script fwregras.sh

# chmod 755 /usr/local/bin/fwregras.sh

Configurar script para iniciar junto com o sistema, editando o arquivo rc.local:

# vim /etc/rc.local

Deixar com o seguinte conteúdo:

/usr/local/bin/fwregras.sh
exit 0

Host Hospedeiro

Configurações do tunel tap0, utilizado para simular Desk02:

sudo ip tuntap add dev tap1 mode tap
sudo ifconfig tap1 172.16.0.100 netmask 255.255.255.0 up

Configurações do tunel tap1, utilizado para simular o BB-Saida-internet:

sudo ip tuntap add dev tap0 mode tap
sudo ifconfig tap0 177.8.8.1 netmask 255.255.255.0 up

Rota para a rede de servidores Site-A:

sudo route add -net 172.16.10.0/24 gw 172.16.0.254

Rota para a rede de servidores Site-B:

sudo route add -net 192.168.0.0/24 gw 172.16.0.254

Permitir a passagem de pacotes pela interface:

sudo sh -c "echo 1 > /proc/sys/net/ipv4/ip_forward"

Mascarar a saída permitindo o acesso a internet das VMs, substituir wlp9s0 pela interface de rede do host hospedeiro:

sudo iptables -t nat -A POSTROUTING -o wlp9s0 -j MASQUERADE

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Configurando VMs e host hospedeiro
   3. Instalação e configuração do Openswan
   4. Validar funcionamento da VPN IPsec
Outros artigos deste autor

Planejando e migrando softwares do Windows para o Linux

Utilizando o script vpnautomatica

Simulando redes com o GNS

Criando um template customizado para o CACTI

Configurando o segundo default gateway para um link de entrada específico

Leitura recomendada

Docker e Flannel

Implementando Servidor NTP no Debian

Debian 9: como instalar TL-WN823N v2 (TP-LINK)

SNMPv3 no Debian/Ubuntu - Configurando para consultas externas

Balanceamento de links - Load balance + Failover + Failback

  
Comentários
[1] Comentário enviado por weidsom em 05/12/2015 - 19:44h


Valeu fera belo artigo!

[2] Comentário enviado por sergeimartao em 07/12/2015 - 23:14h

Fico feliz que tenha gostado, vlw!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Compartilhando a tela do Computador no Celular via Deskreen

Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

O mínimo que você precisa saber sobre o terminal (parte 2)

O mínimo que você precisa saber sobre o terminal (parte 1)

Dicas

Como renomear arquivos de letras maiúsculas para minúsculas

Imprimindo no formato livreto no Linux

Vim - incrementando números em substituição

Efeito "livro" em arquivos PDF

Como resolver o erro no CUPS: Unable to get list of printer drivers

Tópicos

Não to conseguindo resolver este problemas ao instalar o playonelinux (1)

Excluir banco de dados no xampp (1)

phpmyadmin não abre no xampp (2)

Ubuntu não sai som (0)

KeepOS Não consigo usar o comando sudo. (4)

Top 10 do mês

Scripts

[Python] Automação de scan de vulnerabilidades

[Python] Script para analise de superficie de ataque

[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

[Shell Script] Script para adicionar bordas às imagens de uma pasta

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: