Управління IPSec VPN

                                                             Ви можете устанвіть віртуальну приватну мережу (VPN), використовуючи вбудовані інструменти IPsec, OpenSSH і деякі інші Проте, з урахуванням відносно низького рівня безпеки бездротових мереж в цілому, ви, ймовірно, захочете налаштувати

деякі додаткові можливості безпеки

SSH – Якщо ваш VPN заснований на SSH тунелях, базовий набір правил вже містить все що вам потрібно Для пакетного фільтра, ваш тунелювати трафік не відрізнятиметься від решти всього трафіку SSH

IPsec з UDP ключами обміну (IKE / ISAKMP) – Кілька варіантів IPsec залежать від обміну ключами на порту 500 протоколу UPD і використовують порт 4500 протоколу UDP для

NAT траверса (NAT-T) Вам необхідно дозволити проходження цього трафіку, для того,

щоб встановити потоки Практично у всіх реалізаціях є критична залежність від дозволу трафіку протоколу ESP (протокол номер 50) між хостами:

pass proto esp from $source to $target

Фільтрація на інтерфейсах інкапсуляції IPsec – При правильному налаштуванні IPsec, ви можете налаштувати фільтрацію PF для інтерфейсу інкапсуляції enc0 наступним образом4:

pass on enc0 proto ipencap from $source to $target keep state (if-bound)

Дивіться Додаток А для отримання більшої інформації про даному питанні

На стороні клієнтаДля BSD клієнтів настройка дуже проста Етапи підключення BSD машини до бездротової мережі дуже схожі на ті, які ми робили для настройки бездротової точки доступу На OpenBSD конфігурація центрується на файлі hostnameif бездротового інтерфейсу У FreeBSD в основному працюють з rcconf, але доведеться

працювати і з деякими іншим файлами, в залежності від конкретної конфігурації

Установка клієнта на OpenBSDПочнемо зі разі OpenBSD Для того, щоб підключитися до створеної нами WEP точці доступу, ваші клієнти повинні використовувати файл hostnameif (наприклад

/ Etc/hostnameral0) з наступним вмістом:

up media autoselect mode 11g chan 1 nwid unwiredbsd nwkey 0x1deadbeef9 dhcp

Перший рядок встановлює параметри канального рівня з низкою необхідних опцій Взагалі обовязкові тільки параметри up, nwid і nwkey У більшості випадків, драйвер буде асоціювати з точкою доступу відповідний канал і кращий з доступних режимів Другий рядок викликає конфігурування DHCP, і на практиці призводить до запуску команди dhclient для получанія команди про конфігурацію TCP / IP

Якщо ви вирішили використовувати конфігурацію WPA, файл повинен виглядати так:

up media autoselect mode 11g chan 1 nwid unwiredbsd wpa wpapsk `wpa-psk unwiredbsd 0x1deadbeef9` dhcp

І знову, перший рядок встановлює параметри канального рівня, де обовязковими є вибір мережі та параметри шифрування nwid, wpa і wpapsk Ви можете спробувати опустити параметри mode і chan в більшості випадків вони будуть асоційовані автоматично Якщо ви хочете спробувати призвести конфігурування з командного рядка до створення файлу конфігурації

/ Etc / hostnameif, команди для установки клієнта WEP мережі повинні виглядати так:

$ sudo ifconfig ral0 up mode 11b chan 1 nwid unwiredbsd nwkey 0x1deadbeef9

Команда повинна завершитися без якого або виведення Потім, ви можете використовувати ifconfig для перевірки налаштування інтерфейсу Висновок повинен виглядати приблизно так:

$ ifconfig ral0

ral0: flags=8843&ltUP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt mtu 1500 lladdr 00:25:9c:72:cf:60

priority: 4 groups: wlan

media: IEEE80211 autoselect (OFDM54 mode 11g) status: active

ieee80211: nwid unwiredbsd chan 1 bssid 00:25:9c:72:cf:60 nwkey &ltnot displayed&gt 100dBm inet6 fe80::225:9cff:fe72:cf60%ral0 prefixlen 64 scopeid 0x2

Зверніть увагу, що рядок ieee80211 відображає імя мережі і канал, а так само некотрие додаткові параметри Інформація відображена тут повинна відповідати тій яку ви ввели в попередній команді ifconfig

Тепер розглянемо команду для конфігурування OpenBSD клієнта на роботу з мережею WPA:

$ sudo ifconfig ral0 nwid unwiredbsd wpa wpapsk `wpa-psk unwiredbsd 0x1deadbeef9`

4 У OpenBSD 48 інтерфейс інкапсуляції став клонують інтерфейсом, і ви можете налаштувати декілька окремих інтерфейсів enc Всі інтерфейси enc стають членами групи інтерфейсів enc

Команда, так само повинна завершитися без виводу Якщо ви знову використовуєте ifconfig для перевірки статусу інтерфейсів, висновок повинен бути схожий на наступний:

$ ifconfig ral0

ral0: flags=8843&ltUP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt mtu 1500 lladdr 00:25:9c:72:cf:60

priority: 4 groups: wlan

media: IEEE80211 autoselect (OFDM54 mode 11g) status: active

ieee80211: nwid unwiredbsd chan 1 bssid 00:25:9c:72:cf:60 wpapsk &ltnot displayed&gt wpaprotos wpa1,wpa2 wpaakms psk wpaciphers tkip,ccmp wpagroupcipher tkip 100dBm inet6 fe80::225:9cff:fe72:cf60%ral0 prefixlen 64 scopeid 0x2

Перевірте, що рядок ieee80211 відображає коректне імя мережі та параметри WPA

Коли ваші інтерфейси задовільно налаштовані на канальному рівні, використовуйте команду dhclient для конфігурування TCP / IP, приблизно так:

$ sudo dhclient ral0

Команда dhclient повинна вивести підсумковий діалог з DHCP сервером приблизно наступного вигляду:

DHCPREQUEST on ral0 to 255255255255 port 67

DHCPREQUEST on ral0 to 255255255255 port 67

DHCPACK from 1050901 (00:25:9c:72:cf:60) bound to 10509011 — renewal in 1800 seconds

Налаштування FreeBSDНа FreeBSD, вам може знадобитися зробити трохи більше роботи ніж на OpenBSD Залежно від конфігурації ядра, вам може бути необхідно додати відповідні рядки в / Boot / loaderconf На одній з моїх тестових систем

/ Boot / loaderconf виглядав так:

if_rum_load=&quotYES&quot wlan_scan_ap_load=&quotYES&quot wlan_scan_sta_load=&quotYES&quot wlan_wep_load=&quotYES&quot wlan_ccmp_load=&quotYES&quot wlan_tkip_load=&quotYES&quot

Після завантаження необхідних модулів, ви можете підключитися до WEP мережі сконфігурованої раніше використовуючи наступну команду:

$ sudo ifconfig wlan create wlandev rum0 ssid unwiredbsd wepmode on wepkey 0x1deadbeef9 up

Потім виконати:

$ sudo dhclient wlan0

Для зручнішої конфігурації створіть файл start_ifrum0 (замініть rum0 на відповідне імя фізичної інтерфейсу) з приблизно таким вмістом:

wlans_rum0=&quotwlan0&quot

create_args_wlan0=&quotwlandev rum0 ssid unwiredbsd wepmode on wepkey 0x1deadbeef9 up&quot ifconfig_wlan0=&quotDHCP&quot

Якщо ви підключаєтеся до WPA мережі, вам необхідно встановити wpa_supplicant і відповідно змінити налаштування вашого інтерфейсу Для зєднання з точкою доступу WPA використовуйте наступну конфігурацію файлу start_ifrum0:

wlans_rum0=&quotwlan0&quot create_args_wlan0=&quotwlandev rum0&quot ifconfig_wlan0=&quotWPA&quot

Вам так само необхідний файл / etc / wpa_supplicantconf наступного вмісту:

network={ ssid=&quotunwiredbsd&quot psk=&quot0x1deadbeef9&quot

}

Нарешті, додайте рядок ifconfig_wlan0 в rcconf для коректного запуску dgclient

ifconfig_wlan0=&quotDHCP&quot

Інші мережі WPA можуть зажадати додаткових опцій Після завершення конфігурації висновок ifconfig повинен виглядати приблизно так:

rum0: flags=8843&ltUP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt metric 0 mtu 2290 ether 00:24:1d:9a:bf:67

media: IEEE 80211 Wireless Ethernet autoselect mode 11g status: associated

wlan0: flags=8843&ltUP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt metric 0 mtu 1500 ether 00:24:1d:9a:bf:67

inet 10509016 netmask 0xffffff00 broadcast 105090255 media: IEEE 80211 Wireless Ethernet OFDM/36Mbps mode 11g status: associated

ssid unwiredbsd channel 1 (2412 Mhz 11g) bssid 00:25:9c:72:cf:60 country US authmode WPA2/80211i privacy ON deftxkey UNDEF

TKIP 2:128-bit txpower 0 bmiss 7 scanvalid 450 bgscan bgscanintvl 300 bgscanidle 250 roam:rssi 7 roam:rate 5 protmode CTS roaming MANUAL

Джерело: Книга про PF, by Peter NM Hansteen, Переклад виконав Михайлов Олексій aka iboxjo

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*