Fórum Root.cz

Hlavní témata => Server => Téma založeno: IPsec 18. 04. 2018, 16:46:11

Název: Ako vytvorit IPsec VPN server
Přispěvatel: IPsec 18. 04. 2018, 16:46:11
Ahoj,

moze mi prosim niekto vysvetlit, aky je rozdiel medzi site-to-site IPsec VPN a IPsec VPN?
Chcel by som si spravit doma VPN server s IPsec, ale mam zatial v tom riadny gulas. Napr. co je t l2tp/IPsec, ked l2tp, je tiez VPN. Ak by ma niekto mohol nejako rozumne nasmerovat, popr9pade nejaky dobry navod, ako na to...
Název: Re:Ako vytvorit IPsec VPN server
Přispěvatel: aaa158 18. 04. 2018, 18:13:28
Ja som nasadil toto:

http://teebeenator.blogspot.fr/2013/06/strongswan-for-raspberry-pi.html                 
https://www.zeitgeist.se/2013/11/22/strongswan-howto-create-your-own-vpn/       
Název: Re:Ako vytvorit IPsec VPN server
Přispěvatel: Sten 18. 04. 2018, 18:17:48
network-to-network (site-to-site): propojí se dvě uzavřené sítě, typicky třeba kanceláře/serverovny jedné firmy v různých fyzických lokalitách
host-to-network (host-to-site): „klasická“ VPN, počítač se připojuje k uzavřené síti přes VPN (např. vzdálený přístup do kanceláře)
host-to-host: mesh síť, každý host je propojen s každým (např. pro šifrované přenosy souborů)

L2TP je velmi jednoduchý protokol pro vytváření tunelů, který nemá šifrování ani autentizaci. IPSec se používá právě pro to.
Název: Re:Ako vytvorit IPsec VPN server
Přispěvatel: Miky 18. 04. 2018, 19:50:59
Citace: IPsec  18. 04. 2018, 16:46:11
Ahoj,

moze mi prosim niekto vysvetlit, aky je rozdiel medzi site-to-site IPsec VPN a IPsec VPN?
Chcel by som si spravit doma VPN server s IPsec, ale mam zatial v tom riadny gulas. Napr. co je t l2tp/IPsec, ked l2tp, je tiez VPN. Ak by ma niekto mohol nejako rozumne nasmerovat, popr9pade nejaky dobry navod, ako na to...
Ahoj, uz mas vybrano na cem to chces vytvorit (nakup routeru, existujici masina) ?
L2TP/IPsec je popsano v predchozim prispevku.
Název: Re:Ako vytvorit IPsec VPN server
Přispěvatel: IPsec 18. 04. 2018, 20:19:21
VPN server by mal bez vo virtualke HYPER-V na debiane. To je zatial vsetko, co viem xD PReto som chcel nejake info o otm, ze co ako to vlastne funguje... Nez sa do toho pustim...
Název: Re:Ako vytvorit IPsec VPN server
Přispěvatel: pb. 18. 04. 2018, 21:18:47
V první řadě bych zkusil přestat označovat IPsec jako VPN a doporučil bych uvažovat v prostředí, kde IPsec vzniklo - v IPv6. Bude to jasnější.

Představte si dvě sítě IPv6, propojené routerem. Obě sítě jsou mezi sebou routované, tudíž všechny počítače v jedné síti vidí na všechny počítače v druhé síti.  Teď vložte mezi obě sítě internet. U IPv6 adresy jsou veřejné, obě sítě tedy na sebe pořád vidí. Potíž je, že jedna síť je třeba v Praze, druhá síť na pobočce v Brně a přenos je zajištěný po internetu, kde se na pakety může kdokoliv podívat. Vašim zájmem je proto provoz mezi routerem v Praze a routerem v Brně zašifrovat. Pomocí IPsec můžete proto všechen provoz mezi oběma routery zapnout šifrování. U IPv6 tímto úloha IPsec končí. Nastavení je jednoduché a zcela bez záludností. Žádný "tunel" nebo "VPN" zde není - pouze se šifruje provoz mezi dvěma sítěmi (pomíjím rozíly mezi režimy transport a tunel).

Do toho přichází IPv4 se svým zoufalým nedostatkem adres a natem na každém rohu. Sítě na pobočkách mezi sebou v normálním stavu nevidí, někde něco mezi routery samovolně mění adresy (NAT), nebo dokonce svévolně ukončuje spojení (NAT). Počítače mají přístup na internet pouze zprostředkovaný, bez skutečného připojení.

Abyste se dostal na zařízení, které není připojené k internetu, musíte si před tím z takového zařízení udělat tunel někam, kde přístup k internetu je. K tomu lze použít PPTP. To můžete použít například i v případě, že jedné ze sítí se mění IP adresa. Pokud chcete zabezpečit dvě sítě na pobočkách, obvykle PPTP nepotřebujete.

Na firewallu se pak musíte duševně vyrovnat se skutečností, že na venkovním rozhraní firewallu se vám objevují "vnitřní" adresy druhé sítě (pokud použijete racoon, setkey) a zohlednit tento stav v pravidlech firewallu.

Jestli máte zprovozněné IPv6, doporučuji vám začít experimentovat s IPsec právě na IPv6, je to jednodušší a srozumitelnější. IPv4 zkuste, až když vám bude fungovat IPsec na IPv6.
Název: Re:Ako vytvorit IPsec VPN server
Přispěvatel: Miky 18. 04. 2018, 21:47:29
Citace: IPsec  18. 04. 2018, 20:19:21
VPN server by mal bez vo virtualke HYPER-V na debiane. To je zatial vsetko, co viem xD PReto som chcel nejake info o otm, ze co ako to vlastne funguje... Nez sa do toho pustim...
1) Jaky mas router (vyrobce/model) ?
2) Mas verejnou IP ?
3) Potrebujes toto reseni postavit presne na L2TP/IPsec pripadne co rikas na OpenVPN ?
Název: Re:Ako vytvorit IPsec VPN server
Přispěvatel: Miky 18. 04. 2018, 22:21:36
Citace: Miky  18. 04. 2018, 21:47:29
Citace: IPsec  18. 04. 2018, 20:19:21
VPN server by mal bez vo virtualke HYPER-V na debiane. To je zatial vsetko, co viem xD PReto som chcel nejake info o otm, ze co ako to vlastne funguje... Nez sa do toho pustim...
1) Jaky mas router (vyrobce/model) ?
2) Mas verejnou IP ?
3) Potrebujes toto reseni postavit presne na L2TP/IPsec pripadne co rikas na OpenVPN ?

Tak jinak. Pokud to ma byt virtualka je mozne tam nahodit i pfsense

https://doc.pfsense.org/index.php/Virtualizing_pfSense_under_Hyper-V
https://www.root.cz/clanky/firewall-pfsense-vpn-ipsec-tunely-a-ha-rezim/

V pripade Debianu
https://technet.microsoft.com/cs-cz/library/dn614985.aspx
http://www.cluberti.com/blog/2016/03/21/debian-8-3-on-hyper-v-the-recommended-way/
https://github.com/hwdsl2/setup-ipsec-vpn

trocha teorie
https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol
https://cs.wikipedia.org/wiki/IPsec

Pokud hyper-v bezi ve windows serveru pak se to nasadit primo ve windows

https://www.youtube.com/watch?v=LuWGuU2LW24

atd. atd. atd.

Chtel jsi navest, uvedl jsem par odkazu zabyvajici se puvodnim dotazem.
Zdroje jsou volne dostupne, zbytek je samostudium.
Pokud narazis na specificky problem pri konfiguraci napis.






Název: Re:Ako vytvorit IPsec VPN server
Přispěvatel: naseptavac 18. 04. 2018, 23:15:35
Neznam lehci ulohu nez rozebehnout VPN server. To urcite zvladne i clovek, ktery se musi ptat na vyznam site-to-site. Mnohem horsi pak bude k nemu pripojovat klienty.

Jinak dotaz je formulovan stylem: "Chtel bych se stat profesorem v nejakem podoboru kvantove mechaniky, ale zatim v tom mam poradny gulas ... Naucte me to!"
Nenapsals ani, k cemu to ma slouzit.
Název: Re:Ako vytvorit IPsec VPN server
Přispěvatel: Janci 19. 04. 2018, 08:11:29
Najvacsie zaludnosti v IPSec su, ze kazdy vendor podporuje iny subset rezimov, sifrovani a rozsireni a v konfiguracnom rozhrani ich uvadza pod inymi nazvami. Potom nastavit dve rozdielne strany aby si rozumeli byva dost obtiazne, hlavne ak nepisu nic zmysluplne do logu. Phase 1 sa da este oddebugovat pomocou wiresharku, potom uz to je vsetko sifrovane ...
Název: Re:Ako vytvorit IPsec VPN server
Přispěvatel: naseptavac 19. 04. 2018, 19:25:29
Tak jo, pokud sam nevis, k cemu to potrebujes, tak vsechno je pro strongswan na debianu tady:
https://wiki.strongswan.org/projects/strongswan/wiki/UserDocumentation
Název: Re:Ako vytvorit IPsec VPN server
Přispěvatel: Dzavy 20. 04. 2018, 10:42:37
Urcite na to doporucuju virtualku s pfSense.
Název: Re:Ako vytvorit IPsec VPN server
Přispěvatel: snuff1987 20. 04. 2018, 11:00:20
Citace: pb.  18. 04. 2018, 21:18:47
...

podla tvojho prispevku usudzujem ze si nepochopil podstatu ipv6 a co je horsie ani ipv4.

Inak sa Sten k tomu vyjadril najvecnejsie.
Název: Re:Ako vytvorit IPsec VPN server
Přispěvatel: pb. 20. 04. 2018, 17:07:51
Citace: snuff1987  20. 04. 2018, 11:00:20
Citace: pb.  18. 04. 2018, 21:18:47
...
podla tvojho prispevku usudzujem ze si nepochopil podstatu ipv6 a co je horsie ani ipv4.

Na jaké podstatné nepochopení IPv6 a co je horšího, ani IPv4, lze z mého příspěvku usoudit?
Název: Re:Ako vytvorit IPsec VPN server
Přispěvatel: RE: 26. 04. 2018, 21:18:52
Proc to tak strasne komplikujete IPSecem? To je jako kanonem na vrabce. SSH umi i L2 (TAP) i L3 (TUN) site-to-site tunnely. Pro routing ma kolega vyse pravdu, ze IPSec je policy based, takze pro routing potrebujes jeste encapsulovat vnitrni tunnel, treba jako GRE anebo IPIP anebo jakykoliv jiny, podle potreb.

Priklad L2 tunelu:
[root@A ~]$ ssh -o Tunnel=ethernet -w 1:1 root@B

Vytvori mi tap1 interface na obou boxech, ktere muzu treba pridat do bridge (brctl).

Priklad L3 tunelu:
[root@A ~]$ ssh -w 1:1 root@B
Vytvori mi tun1 interface na obou boxech, kterym pridam adresu.

Je to:
1. Ultrarychle nahozene
2. Je to SSH, takze se da snadno naskriptovat
3. Moznost volby sifry a prihlasovani klicema + known_hosts (AAA)
4. SSH ma i moje lampicka

Nevyhoda:
1. Potrebuje roota
Název: Re:Ako vytvorit IPsec VPN server
Přispěvatel: IPsec 27. 04. 2018, 09:43:28
SSH nemozem pouzivat, lebo to vyzaduje 3th part app... Preto chcem l2tp/IPsec, lebo klient je vstavany priamo v zariadeniach.... Windows, Mac, Android, iOS..... Inak by som to vobe neriesil a pouzil OpenVPN, len tiez vyzaduje 3th part app...
V kazdom pripade pomalicky studujem StrongSwan. Tak sa mi to snad podari zrobit...
Název: Re:Ako vytvorit IPsec VPN server
Přispěvatel: pb. 27. 04. 2018, 20:41:12
Citace: IPsec  27. 04. 2018, 09:43:28
SSH nemozem pouzivat, lebo to vyzaduje 3th part app... Preto chcem l2tp/IPsec, lebo klient je vstavany priamo v zariadeniach.... Windows, Mac, Android, iOS..... Inak by som to vobe neriesil a pouzil OpenVPN, len tiez vyzaduje 3th part app...
V kazdom pripade pomalicky studujem StrongSwan. Tak sa mi to snad podari zrobit...
Ahááá, už tuším, čeho chcete dosáhnout.
Třeba takto:

https://wiki.gentoo.org/wiki/IPsec_L2TP_VPN_server
Název: Re:Ako vytvorit IPsec VPN server
Přispěvatel: naseptavac 29. 04. 2018, 15:30:53
Tady jsem postnul fungujici konfiguraci:
https://forum.root.cz/index.php?topic=18333.msg262989#msg262989
Název: Re:Ako vytvorit IPsec VPN server
Přispěvatel: IPsec 30. 04. 2018, 12:46:38
Ahoj,

stale tapam v configuracii IPsec. V konfiguracii sa pouziva Lava strana a Prava strana. Pokial spravne chapem, takto to vyzera ked by som chcel spojit router s routerom... Pokial ale mam len jednu stranu, na ktoru sa budu pripajat len klineti z roznych adries, nazvyme ju lavu,  tak pravu potom uplne vynechavam? Lebo vsade definuju lavu a pravu stranu....

Dakujem za radu... :)
Název: Re:Ako vytvorit IPsec VPN server
Přispěvatel: IPsec 30. 04. 2018, 14:11:43
Edit:

alebo to len definujem nejako takto /etc/ipsec.conf

conn IPsec
        auto = add
        authby = psk
        type = tunnel
        left = 10.3.16.110
        leftsubnet = 10.3.16.1/24
        leftdns = 10.5.4.12
        leftprotoport = udp/l2tp
?       right = %any
?       rightsubnet = 0.0.0.0/0

Název: Re:Ako vytvorit IPsec VPN server
Přispěvatel: naseptavac 30. 04. 2018, 20:25:08
Co kliknout na odkaz a zamyslete se? Proc myslis, ze tam neni zadny cokolisubnet?
Název: Re:Ako vytvorit IPsec VPN server
Přispěvatel: Vladimír Smitka 01. 05. 2018, 19:20:10
Před pár měsíci jsem dělal návody na rozchození L2TP a IKEv2 VPN pomocí cloud-init skriptu, mám k tomu vyrobené ale i bashové skripty, které konfiguraci vytvoří:

https://lynt.cz/blog/l2tp-vpn-v-aws-snadno-a-rychle
https://lynt.cz/blog/ikev2-vpn-v-cloudu-snadno-a-rychle
Název: Re:Ako vytvorit IPsec VPN server
Přispěvatel: naseptavac 01. 05. 2018, 21:17:27
To mi pripomnelo otazku nastaveni firewallu pro UDP port 1701 - vyuzije se faktu, ze paket ani po vybaleni z IPSECu neztraci svou znacku:


...
iptables -t mangle -A PREROUTING -d 192.168.172.5/32 -i eth0 -p udp -m udp --dport 500 -j MARK --set-xmark 0x2/0xffffffff
iptables -t mangle -A PREROUTING -d 192.168.172.5/32 -i eth0 -p udp -m udp --dport 4500 -j MARK --set-xmark 0x2/0xffffffff
...
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
...
iptables -A INPUT -d 192.168.172.5/32 -i eth0 -p udp -m udp --dport 500 -m mark --mark 0x2 -j ACCEPT
iptables -A INPUT -d 192.168.172.5/32 -i eth0 -p udp -m udp --dport 1701 -m mark --mark 0x2 -j ACCEPT
iptables -A INPUT -d 192.168.172.5/32 -i eth0 -p udp -m udp --dport 4500 -m mark --mark 0x2 -j ACCEPT
...
iptables -A INPUT -j REJECT

Tim je UDP port 1701 zvenci nepristupny, ale pro L2TP vybalene z IPSECu ano.