Uživatelské nástroje

Nástroje pro tento web


ipsec

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Obě strany předchozí revizePředchozí verze
Následující verze
Předchozí verze
ipsec [2018/03/01 14:02] – [Verze od 5.2.0] djbuldogipsec [2025/08/28 10:09] (aktuální) – upraveno mimo DokuWiki 127.0.0.1
Řádek 107: Řádek 107:
  
   * nainstalovat balíček strongswan (nevyžaduje žádné speciální kernel moduly)   * nainstalovat balíček strongswan (nevyžaduje žádné speciální kernel moduly)
- 
-==== Verze před 5.2.0 ====  
- 
-  * konfiguruje se úpravou tří souborů 
-    * **ipsec.conf** - definice spojení/tunelů a globálních nastavení 
-    * **ipsec.secrets** - definice hesel k šifrovacím klíčům a případné uživatelské účty (EAP). Musí zde být uvedeny také všechny používané privátní širfrovací klíče, aby je strongswan našel. 
-    * **strongswan.conf** - zatím jsem nikdy nepoužil :) 
-  * případné klíče, certifikáty nebo důvěryhodné CA se umísťují do podadresáře private, certs a cacerts 
-  * na Debian je konfigurační adresář /etc/ipsec, na CentOS /etc/strongswan 
- 
-  * při [[https://wiki.strongswan.org/projects/strongswan/wiki/ConnSection|definici spojení]] se používá označení left/right pro jednotlivé strany 
-  * IPsec by měl sám poznat, zda je left nebo right na zákldě znalosti lokálního prostředí 
-  * lepší je ale cfg tvorit tak, že left je strana lokální a right vzdálená 
- 
-  * služba se spouští 
-    * přes systemd (''systemctl start/stop strongswan'' 
-    * přímo zavoláním binárky ''strongswan start'' (na Debian ''ipsec start'') 
-    * měl by se používat jen jeden způsob - na CentOS mi systemd neuměl zastavit strongswan spuštěný přímo 
- 
-  * IPSec spojení lze ručně zapnout/vypnout příkazem ''strongswan up/down <název_conn>'' 
-    * pozor: pokud se příkaz ''up'' zavolá víckrát, vytvoří se zbytečně více child-SA 
-  * Informace o definovaných a navázaných spojení se zobrazí příkazem ''strongswan statusall'' 
  
 ==== Verze od 5.2.0 ====  ==== Verze od 5.2.0 ==== 
Řádek 156: Řádek 134:
   * aktivní SA se zjišťují příkazem ''swanctl %%--%%list-sas'' (nahrazuje ''strongswan status'')   * aktivní SA se zjišťují příkazem ''swanctl %%--%%list-sas'' (nahrazuje ''strongswan status'')
   * aktivutu SA lze sledovat přes ''swanctl %%--%%log'' nebo ''swanctl %%--%%monitor-sa''   * aktivutu SA lze sledovat přes ''swanctl %%--%%log'' nebo ''swanctl %%--%%monitor-sa''
 +
 +==== Verze před 5.2.0 ==== 
 +
 +  * konfiguruje se úpravou tří souborů
 +    * **ipsec.conf** - definice spojení/tunelů a globálních nastavení
 +    * **ipsec.secrets** - definice hesel k šifrovacím klíčům a případné uživatelské účty (EAP). Musí zde být uvedeny také všechny používané privátní širfrovací klíče, aby je strongswan našel.
 +    * **strongswan.conf** - zatím jsem nikdy nepoužil :)
 +  * případné klíče, certifikáty nebo důvěryhodné CA se umísťují do podadresáře private, certs a cacerts
 +  * na Debian je konfigurační adresář /etc/ipsec, na CentOS /etc/strongswan
 +
 +  * při [[https://wiki.strongswan.org/projects/strongswan/wiki/ConnSection|definici spojení]] se používá označení left/right pro jednotlivé strany
 +  * IPsec by měl sám poznat, zda je left nebo right na zákldě znalosti lokálního prostředí
 +  * lepší je ale cfg tvorit tak, že left je strana lokální a right vzdálená
 +
 +  * služba se spouští
 +    * přes systemd (''systemctl start/stop strongswan''
 +    * přímo zavoláním binárky ''strongswan start'' (na Debian ''ipsec start'')
 +    * měl by se používat jen jeden způsob - na CentOS mi systemd neuměl zastavit strongswan spuštěný přímo
 +
 +  * IPSec spojení lze ručně zapnout/vypnout příkazem ''strongswan up/down <název_conn>''
 +    * pozor: pokud se příkaz ''up'' zavolá víckrát, vytvoří se zbytečně více child-SA
 +  * Informace o definovaných a navázaných spojení se zobrazí příkazem ''strongswan statusall''
 +
 ==== Příklad IPsec serveru pro Windows 7 ==== ==== Příklad IPsec serveru pro Windows 7 ====
  
   * podle [[https://raymii.org/s/tutorials/IPSEC_vpn_with_CentOS_7.html|návodu pro CentOS]]   * podle [[https://raymii.org/s/tutorials/IPSEC_vpn_with_CentOS_7.html|návodu pro CentOS]]
-  * vygenerovat klíče/certifikáty+  * vygenerovat klíče/certifikáty ([[https://wiki.strongswan.org/projects/strongswan/wiki/SimpleCA|Strongswan simpleCA]])
     * **Self signed root CA** - certifikační autorita pro generování certifikátů (pokud ještě nemáme)     * **Self signed root CA** - certifikační autorita pro generování certifikátů (pokud ještě nemáme)
     * **VPN Host key** - používá se k identifikaci serveru u klientů. Musí prý v DN (Distinguished Name) nebo SAN (subject Alternative Name) obsahovat IP adresu nebo doménové jméno stroje. V opačném případě nemusí být akceptován.     * **VPN Host key** - používá se k identifikaci serveru u klientů. Musí prý v DN (Distinguished Name) nebo SAN (subject Alternative Name) obsahovat IP adresu nebo doménové jméno stroje. V opačném případě nemusí být akceptován.
ipsec.1519909336.txt.gz · Poslední úprava: (upraveno mimo DokuWiki)

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki