Найти тему
IPsec2024

Как настроить Debian

5 минут
2 прочтения
Оглавление

1. Переименовать машины / Заменить зеркала / Обновить репозиторий и ПО

nano/etc/hostname

nano /etc/hosts

nano /etc/apt/sources.list, где меняю на mirror.yandex.ru, после чего apt-get update и apt-get upgrade

(СДЕЛАТЬ НА ВСЕХ МАШИНАХ)

2. Обеспечить сетевую связанность

ip a, проверяю все интерфейсы, после чего захожу в nano /etc/network/interfaces и меняю адреса

-2

systemctl restart networking

(СДЕЛАТЬ НА ВСЕХ МАШИНАХ)

nano/etc/sysctl.conf где необходимо раскомментировать net.ipv4.ip_forward=1, после чего проверить с помощью sysctl-p

(СДЕЛАТЬ НА RTR-R RTR-L ISP)

3. GRE туннель между RTR-R и RTR-L

Заходим на ISP, устанавливаем iptables (apt install iptables) после чего прописываем

iptables -t nat -A POSTROUTING -o ens33 -j MASQUERADE (НАТ ДЛЯ DHCP)

iptables -A FORWARD -i ens36 -j ACCEPT

iptables -A FORWARD -i ens37 -j ACCEPT

iptables -A FORWARD -i ens38 -j ACCEPT (Принимаем пересылку на порты внутрь сети)

(ПРОПИСЫВАЕМ ВСЕ НА ISP)

Только после этого будет интернет на роутерах боковых.

Далее настройка нат на RTR-R и RTR-L

iptables -t nat -A POSTROUTING -o ens33 -j MASQUERADE (ens 33 – откуда идет, например 5.5.5.100)

(ПРОПИСЫВАЕМ НА RTR-R и RTR-L)

apt install iptables-persistent -y – скачиваем необходимое программу для сохранения настроек

iptables-save > /etc/iptables/rules.v4 – сохраняем настройки в файл

(ПРОПИСЫВАЕМ НА ISP, RTR-R и RTR-L)

{NFT TABLES}

· echo “net.ipv4.ip_forward=1” > /etc/sysctl.conf; sysctl -p

· nano /etc/nftables.conf

-3

RTR-L

-4

RTR-R

-5

ISP

· На каждом: nft -f /etc/nftables.conf

· systemctl enable —now nftables

-6

Дальше настраиваем GRE-туннель

nano/etc/gre.up (Данный файл заполняем с нуля) в соответствии со скриншотом

-7

chmod +x /etc/gre.up – выдаем права на выполнение файла

/etc/gre.up – проверка правильности заполнения файла

nano/etc/crontab – в конце файла добавляем команду @reboot root /etc/gre.up для автозапуска

ip --br a – проверка того что туннель создан

(ПРОПИСЫВАЕМ НА RTR-L И RTR-R)

4. NFTABLES

-8

• RTR-L

-9

RTR-R добовляем также 53 порт

-10

RTR-L

-11

RTR-R

-12

4.5 IPSEC (На rtr-r and rtr-L)

apt install strongswan

-13

После успешной установки пакета необходимо добавить конфигурацию в два основных конфигурационных файла: /etc/ipsec.conf и /etc/ipsec.secrets.

В файле /etc/ipsec.conf содержится основная информация о параметрах соединения, ниже представлены примеры на RTR-L и RTR-R:

-14

RTR -R (Возможно поменять местами адреса left и right если проверка конечная не работает)

-15

RTR-L

-16

nano /etc/ipsec.secrets

Проверить работоспособность защищенного соединения можно при помощи команды IPSecStatus.Если не показывает соединения,то запускаем IPSecUpdate, затем IPSec Restart — программа выдаст сообщение об ошибке синтаксиса в конфигах (строчку):

-17

4. IPTABLES

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 443 -j ACCEPT

iptables -A INPUT -p tcp --dport 500 -j ACCEPT

iptables -A INPUT -p udp --dport 53 -j ACCEPT

iptables -A INPUT -p gre -j ACCEPT

iptables -A INPUT -p icmp -j ACCEPT

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p udp -m multiport --dports 500,4500 -j ACCEPT

iptables -A INPUT -p esp -j ACCEPT

iptables -t nat -A PREROUTING -p tcp --dport 2222 -j DNAT --to-destination 192.168.10.100:22

-18
-19

RTR-L

-20

RTR-R

-21

(/sbin/iptables-restore < /etc/iptables/rules.v4) – в конце заменить

5. DNS

apt install bind9 (на isp)

nano /etc/bind/named.conf.options

-22

Далее конфигурация nano /etc/bind/named.conf.default-zones, согласно скриншоту

-23

После переходим по пути cd /etc/bind и копируем файл cp db.local demo.wsr

-24

Редактируем файл nano demo.wsr, согласно скриншоту

-25

Проверяем с помощью named-checkconf и named-checkconf -z

После проверки должно выскочить что-то подобное:

-26

Перезапускаем systemctl restart bind9

(так-же проверку можно провести с помощью host “зона” “IP-адрес сервера”, например host demo.wsr 3.3.3.1)

-27

(ВСЕ ДЕЙСТВИЯ НА ISP)

Далее настройка DNS на Windows Server

«Управление» - «Добавить роли и компоненты» - «DNS». После того как добавили DNS, перейдем к его настройке «Средства» - «DNS», создадим прямую зону int.demo.wsr и обратные зоны 100.168.192.in-addr.arpa и 100.16.172.ip-addr.arpa и заполняем в соответствии со скриншотом

-28

В сервере пересылки можем указать 3.3.3.1 или 4.4.4.1

-29
-30
-31

Это мы добавляем что бы докер открывался по адресу: www.int.demo.wsr или http://www.int.demo.wsr

-32

чтобы сохранить /etc/resolv.conf нужно: apt install resolvconf (Только ISP)

systemctl enable —now resolvconf

nano /etc/network/interfaces

где стоит строка с dhcp вписать ниже dns-nameserver 127.0.0.1 как с адресами отступ

перезапустить файл - systemctl restart networking

Для того чтобы не сбрасывался resolv.conf на ISP делаем следующее:

apt install resolvconf

systemctl enable –now resolvconf

nano /etc/network/interfaces в строке с NAT через табуляцию прописываем dns-nameserver 127.0.0.1

-33

systemctl restart networking

6. Samba (RAID)

Добавляем к серверу 3 диска по 2 гига

Переходим на сервер и жмем правой кнопкой по значку windows, в открывшимся окне жмем Управление дисками

Нажимаем правой кнопкой по новым дискам, жмем в сети, опять правой кнопкой по дискам и активируем их

Нажимаем правой кнопкой мыши по дискам и жмем создать RAID5.

Заходим на диск и создаем папку Share

Нажимаем правой кнопкой по папке Свойства>Доступ>Расширенная настройка и ставим галочку

-34

Нажимаем общий доступ, добавляем “Все” и ставим права чтение и запись.

Переходим в web-l и web-r и скачиваем cifs-utils

apt install cifs-utils

создаем папку

mkdir/mnt/Share

Монтируем папку сервера к линуксу

mount //192.168.100.200/Share /mnt/Share -o user=Администратор,password=P@ssw0rd

Добавляем в автозапуск

Переходим по пути: nano /etc/fstab

-35

В конце строки должно быть 2 нуля через tab

7. Синхронизация времени

apt install chrony (На isp)

nano /etc/chrony/chrony.conf

-36

systemctl restart chronyd

regedit -> HKEY_

LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

Файлик NtpServer указываем 3.3.3.1 (ISP)

В cmd net stop w32time

net start w32time

w32tm /resync /rediscover

w32tm /query /status

8. Центр сертификации

9. Докер

apt install docker docker.io (На web-l и web-r)

docker image pull nginx

docker run -d -p 80:80 –-name “любое название” nginx

apt install curl

curl (адрес WEB, например 192.168.100.100 – WEB-L)

Для проверки переходим на Windows Server и в поисковой строке забиваем http://192.168.100.100

ПРОВЕРКА IPSEC

apt install tcpdump на ISP

tcpdump -i enp0s8 -w dump.bin

telnet 172.16.100.100 22 на WEB-L

потом вводим сообщения

потом на ISP идем в mc

там в dump F3> F4 > F7, вводим сообщение если ничего не находит, то все верно

Взгляните на эти темы
Технологии и IT
Социальные сети и мессенджеры
Найти тему
Языки программирования
Веб-разработка
Мобильная разработка
Разработка игр
Интернет
Аналитика данных
UX/UI Дизайн
Операционные системы
Облачные технологии
Кибербезопасность
AR и VR
Ноутбуки
Huawei
Инновационные технологии будущего
Технологии в музыке
Технологии в социальной сфере
Аудиотехника и акустика
Sony
Технологии и IT
5,67 млн интересуются