CentOS/RHEL 8 এ স্ট্রোংসওয়ানের সাথে আইপিএস-ভিত্তিক ভিপিএন কীভাবে সেট আপ করবেন
স্ট্রোকসওয়ান লিনাক্সের জন্য একটি ওপেন সোর্স, মাল্টি-প্ল্যাটফর্ম, আধুনিক এবং সম্পূর্ণ আইপিএস-ভিত্তিক ভিপিএন সমাধান যা দুই সমবয়সীদের মধ্যে সুরক্ষা সমিতি (এসএ) স্থাপনের জন্য ইন্টারনেট কী এক্সচেঞ্জের (আই কেইভি 1 এবং আই কেইভি 2) উভয়ের জন্য সম্পূর্ণ সমর্থন সরবরাহ করে। এটি পুরো বৈশিষ্ট্যযুক্ত, ডিজাইনের দ্বারা মডুলার এবং কয়েক ডজন প্লাগইন সরবরাহ করে যা মূল কার্যকারিতা বাড়ায়।
সম্পর্কিত নিবন্ধ: ডেবিয়ান এবং উবুন্টুতে স্ট্রিংসওয়ানের সাথে আইপিএস-ভিত্তিক ভিপিএন কীভাবে সেট আপ করবেন
এই নিবন্ধে, আপনি কীভাবে CentOS/RHEL 8 সার্ভারগুলিতে শক্তিশালীওয়ান ব্যবহার করে সাইট-টু-সাইট আইপিসিপি ভিপিএন গেটওয়ে সেট আপ করবেন তা শিখবেন। এটি শক্তিশালী প্রাক-ভাগ করা কী (পিএসকে) ব্যবহার করে পিয়ারকে একে অপরকে প্রমাণীকরণ করতে সক্ষম করে। সাইট-টু-সাইট সেটআপ মানে প্রতিটি সুরক্ষা গেটওয়ের পিছনে একটি সাব নেট থাকে।
গাইড অনুসরণ করার সময় কনফিগারেশন চলাকালীন আপনার রিয়েল-ওয়ার্ল্ড আইপি ঠিকানাগুলি ব্যবহার করতে ভুলবেন না।
Public IP: 192.168.56.7 Private IP: 10.10.1.1/24 Private Subnet: 10.10.1.0/24
Public IP: 192.168.56.6 Private IP: 10.20.1.1/24 Private Subnet: 10.20.1.0/24
পদক্ষেপ 1: CentOS 8 এ কার্নেল আইপি ফরোয়ার্ডিং সক্ষম করা
1. উভয় ভিপিএন গেটওয়েতে /etc/sysctl.conf কনফিগারেশন ফাইলটিতে কার্নেল আইপি ফরোয়ার্ডিং কার্যকারিতা সক্ষম করে শুরু করুন।
# vi /etc/sysctl.conf
এই লাইনগুলি ফাইলটিতে যুক্ত করুন।
net.ipv4.ip_forward = 1 net.ipv6.conf.all.forwarding = 1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0
২. ফাইলের পরিবর্তনগুলি সংরক্ষণ করার পরে, রানটাইমে নতুন কার্নেল প্যারামিটারগুলি লোড করতে নিম্নলিখিত কমান্ডটি চালান।
# sysctl -p
৩. পরবর্তী, উভয় সুরক্ষা গেটওয়েতে/etc/sysconfig/নেটওয়ার্ক-স্ক্রিপ্ট/রুট-এথ0 ফাইলটিতে স্থায়ী স্থিতিশীল রুট তৈরি করুন।
# vi /etc/sysconfig/network-scripts/route-eth0
ফাইলটিতে নিম্নলিখিত লাইনটি যুক্ত করুন।
#Site 1 Gateway 10.20.1.0/24 via 192.168.56.7 #Site 2 Gateway 10.10.1.0/24 via 192.168.56.6
4. তারপরে নতুন পরিবর্তনগুলি প্রয়োগ করতে নেটওয়ার্ক ম্যানেজারটি পুনরায় চালু করুন।
# systemctl restart NetworkManager
পদক্ষেপ 2: সেন্টোস 8 এ স্ট্রংসওয়ান ইনস্টল করা
৫. ইস্পেল সংগ্রহস্থলে স্ট্রংসওয়ান প্যাকেজ সরবরাহ করা হয়। এটি ইনস্টল করতে আপনাকে EPEL সংগ্রহস্থল সক্ষম করতে হবে, তারপরে উভয় সুরক্ষা গেটওয়েতে শক্তিশালী ইনস্টল করতে হবে।
# dnf install epel-release # dnf install strongswan
Both. উভয় গেটওয়েতে ইনস্টলড স্ট্রিংসওয়ানের সংস্করণটি পরীক্ষা করতে, নিম্নলিখিত কমান্ডটি চালান।
# strongswan version
Next. এরপরে, স্ট্রিংসওয়ান পরিষেবাটি শুরু করুন এবং এটি সিস্টেম বুটে স্বয়ংক্রিয়ভাবে শুরু করতে সক্ষম করুন। তারপরে উভয় সুরক্ষা গেটওয়েতে স্থিতি যাচাই করুন।
# systemctl start strongswan # systemctl enable strongswan # systemctl status strongswan
দ্রষ্টব্য: সেন্টোস/আরইএইচএল 8-তে স্ট্রংসওয়ানের সর্বশেষতম সংস্করণটি সোয়ানেক্টল উভয়ের জন্য সমর্থন পেয়েছে (ভিসি প্লাগইন ব্যবহার করে আইকেই ডিমন চারনকে কনফিগার, নিয়ন্ত্রণ ও নিরীক্ষণ করতে ব্যবহৃত নতুন স্ট্যান্ডার্ড কমান্ড-লাইন ইউটিলিটি) অবহেলিত স্ট্রোক প্লাগইন ব্যবহার করে স্টার্টার (বা আইপিস্ক) ইউটিলিটি।
৮. মূল কনফিগারেশন ডিরেক্টরিটি হ'ল/ইত্যাদি/স্ট্রংসওয়ান/যা উভয় প্লাগইনের জন্য কনফিগারেশন ফাইল রয়েছে:
# ls /etc/strongswan/
এই গাইডের জন্য আমরা আইপিএসসি ইউটিলিটি ব্যবহার করব যা স্ট্রংসওয়ান কমান্ড এবং স্ট্রোক ইন্টারফেস ব্যবহার করে অনুরোধ করা হয়েছিল। সুতরাং আমরা নিম্নলিখিত কনফিগারেশন ফাইলগুলি ব্যবহার করব:
- /etc/strongswan/ipsec.conf - শক্তিশালী সোয়ান আইপিসি সাবসিস্টেমের জন্য কনফিগারেশন ফাইল
- /etc/strongswan/ipsec.secrets - সিক্রেটস ফাইল
পদক্ষেপ 3: সুরক্ষা গেটওয়ে কনফিগার করা
9. এই পদক্ষেপে, আপনাকে প্রতিটি সাইটের জন্য /etc/strongswan/ipsec.conf strongswan কনফিগারেশন ফাইল ব্যবহার করে প্রতিটি সুরক্ষার গেটওয়েতে সংযোগ প্রোফাইলগুলি কনফিগার করতে হবে।
# cp /etc/strongswan/ipsec.conf /etc/strongswan/ipsec.conf.orig # vi /etc/strongswan/ipsec.conf
ফাইলটিতে নিম্নলিখিত কনফিগারেশনটি অনুলিপি করুন এবং আটকান।
config setup charondebug="all" uniqueids=yes conn ateway1-to-gateway2 type=tunnel auto=start keyexchange=ikev2 authby=secret left=192.168.56.7 leftsubnet=10.10.1.1/24 right=192.168.56.6 rightsubnet=10.20.1.1/24 ike=aes256-sha1-modp1024! esp=aes256-sha1! aggressive=no keyingtries=%forever ikelifetime=28800s lifetime=3600s dpddelay=30s dpdtimeout=120s dpdaction=restart
# cp /etc/strongswan/ipsec.conf /etc/strongswan/ipsec.conf.orig # vi /etc/strongswan/ipsec.conf
ফাইলটিতে নিম্নলিখিত কনফিগারেশনটি অনুলিপি করুন এবং আটকান:
config setup charondebug="all" uniqueids=yes conn 2gateway-to-gateway1 type=tunnel auto=start keyexchange=ikev2 authby=secret left=192.168.56.6 leftsubnet=10.20.1.1/24 right=192.168.56.7 rightsubnet=10.10.1.1/24 ike=aes256-sha1-modp1024! esp=aes256-sha1! aggressive=no keyingtries=%forever ikelifetime=28800s lifetime=3600s dpddelay=30s dpdtimeout=120s dpdaction=restart
আসুন উপরের কনফিগারেশনের প্রতিটি পরামিতি সংক্ষেপে বর্ণনা করি:
- কনফিগারেশন সেটআপ - আইপিসেকের জন্য সাধারণ কনফিগারেশন তথ্য সংজ্ঞায়িত করে যা সমস্ত সংযোগের ক্ষেত্রে প্রযোজ্য।
- চারনডেবাগ - কতটা চারন ডিবাগিং আউটপুট লগ করা উচিত তা নির্দিষ্ট করে
- ইউনিকাইডস - নির্দিষ্ট অংশগ্রহণকারী আইডিটিকে অনন্য রাখা উচিত কিনা তা নির্ধারণ করে
- কানেক্ট গেটওয়ে 1-থেকে-গেটওয়ে 2 - সংযোগের নামটি সেট করতে ব্যবহৃত হয়েছিল
- প্রকার - সংযোগ প্রকারের সংজ্ঞা দেয়
- আইপিএসেক শুরু করা বা পুনরায় চালু করা হলে সংযোগটি কীভাবে পরিচালনা করতে হয় তা ঘোষণার জন্য অটো - ব্যবহৃত হয়
- কেএক্সচেঞ্জ - ব্যবহারের জন্য IKE প্রোটোকলের সংস্করণ ঘোষণা করে
- লেখক - কীভাবে সমবয়সীদের একে অপরকে প্রমাণীকরণ করা উচিত তা নির্দিষ্ট করে।
- বাম - বাম অংশগ্রহণকারীর পাবলিক-নেটওয়ার্ক ইন্টারফেসের আইপি ঠিকানা ঘোষণা করে
- লেফসুবনেট - বাম অংশগ্রহীতার পিছনে ব্যক্তিগত সাবনেট ঘোষণা করে
- ডান - সঠিক অংশগ্রহণকারীর পাবলিক-নেটওয়ার্ক ইন্টারফেসের আইপি ঠিকানা ঘোষণা করে
- রাইটসুবনেট - বাম অংশগ্রহীতার পিছনে ব্যক্তিগত সাবনেট ঘোষণা করে
- ike - IKE/ISAKMP SA এনক্রিপশন/প্রমাণীকরণ আলগোরিদিম ব্যবহার করার জন্য একটি তালিকা ঘোষণা করতে ব্যবহৃত হয়েছিল। মনে রাখবেন এটি কমা-বিচ্ছিন্ন তালিকা হতে পারে
- esp - সংযোগের জন্য ব্যবহৃত ESP এনক্রিপশন/প্রমাণীকরণ আলগোরিদিমগুলির একটি তালিকা নির্দিষ্ট করে।
- আক্রমণাত্মক - আগ্রাসী বা প্রধান মোড ব্যবহার করবেন কিনা তা ঘোষণা করে
- কীটিংট্রি - সংযোগের জন্য আলোচনার জন্য কতগুলি প্রচেষ্টা করা উচিত তা ঘোষণা করে
- আইকেলাইফটাইম - পুনর্নির্মাণের আগে কোনও সংযোগের কী-চ্যানেলটি কতক্ষণ স্থায়ী হয় তা নির্দিষ্ট করে।
- আজীবন - সফল সংলাপ থেকে মেয়াদোত্তীর্ণ হওয়া পর্যন্ত কোনও সংযোগের একটি নির্দিষ্ট উদাহরণ কত দিন স্থায়ী হয় তা নির্দিষ্ট করে
- ডিপিডিলে - সময় ব্যবধান ঘোষণা করে যা পিয়ারকে আর_ইউ_থের বার্তা/তথ্য বিনিময় প্রেরণ করা হয়
- ডিপিডিটাইমআউট - টাইমআউট ব্যবধান ঘোষণা করতে ব্যবহৃত হয়, এর পরে নিষ্ক্রিয়তার ক্ষেত্রে পিয়ারের সমস্ত সংযোগ মুছে ফেলা হয়
- ডিপিডিএশন - সংযোগটি পরিচালনা করতে ডেড পিয়ার ডিটেকশন (ডিপিডি) প্রোটোকল কীভাবে ব্যবহার করবেন তা নির্দিষ্ট করে।
Ipsec.conf ম্যান পৃষ্ঠাটি পড়ে আপনি স্ট্রংসওয়ান আইপিএসসি সাবসিস্টেমের জন্য সমস্ত কনফিগারেশন প্যারামিটারের বিবরণ পেতে পারেন।
# man ipsec.conf
পদক্ষেপ 4: পিয়ার-থেকে-পিয়ার প্রমাণীকরণের জন্য পিএসকে কনফিগার করছে
10. এরপরে, আপনাকে নীচের হিসাবে প্রমাণীকরণের জন্য পিয়ারগুলি ব্যবহার করার জন্য একটি শক্তিশালী পিএসকে তৈরি করতে হবে।
# head -c 24 /dev/urandom | base64
১১. উভয় সুরক্ষা গেটওয়েতে /etc/strongswan/ipsec.conf ফাইলে PSK যুক্ত করুন।
# vi /etc/strongswan/ipsec.secrets
ফাইলটিতে নিম্নলিখিত লাইনটি প্রবেশ করান।
#Site 1 Gateway 192.168.56.7 192.168.56.6 : PSK "0GE0dIEA0IOSYS2o22wYdicj/lN4WoCL" #Site 1 Gateway 192.168.56.6 192.168.56.7 : PSK "0GE0dIEA0IOSYS2o22wYdicj/lN4WoCL"
12. তারপরে স্ট্রংসান পরিষেবা শুরু করুন এবং সংযোগগুলির স্থিতি পরীক্ষা করুন।
# systemctl restart strongswan # strongswan status
১৩. আপনি যদি পিং কমান্ডটি চালিয়ে সুরক্ষা গেটওয়ে থেকে ব্যক্তিগত সাব-নেটগুলি অ্যাক্সেস করতে পারেন তবে পরীক্ষা করুন Test
# ping 10.20.1.1 # ping 10.10.1.1
১৪. তবে শেষ কথা নয়, ম্যানুয়ালি সংযোগগুলি আনতে/নামিয়ে আনতে আরও শক্তিশালী আদেশগুলি শিখতে, শক্তিশালী সহায়তা পৃষ্ঠাটি দেখুন।
# strongswan --help
এখন এ পর্যন্তই! আপনার সাথে আমাদের চিন্তা ভাগ করে নিতে বা প্রশ্ন জিজ্ঞাসা করতে, নীচের প্রতিক্রিয়া ফর্মের মাধ্যমে আমাদের কাছে পৌঁছান। এবং নতুন swanctl ইউটিলিটি এবং আরও আরও নমনীয় কনফিগারেশন কাঠামো সম্পর্কে আরও জানতে, শক্তিশালী সোয়ান ব্যবহারকারী ডকুমেন্টেশন দেখুন।