So schützen Sie ein VPN mit einem IPsec-Tunnel im Tunnelmodus über IPv6
Zum Einrichten eines VPN in einem IPv6-Netzwerk führen Sie die gleichen Schritte wie für ein IPv4-Netzwerk aus. Lediglich die Syntax der Befehle ist etwas anders. Eine vollständige Beschreibung der Gründe für bestimmte Befehle finden Sie unter den entsprechenden Schritten der Beschreibung unter So schützen Sie ein VPN mit einem IPsec-Tunnel im Tunnelmodus über IPv4.
Hinweis –
Führen Sie die Schritte dieses Verfahrens auf beiden Systemen aus.
In diesem Verfahren werden die folgenden Konfigurationsparameter verwendet.
|
Parameter |
Europe |
California |
||
|---|---|---|---|---|
|
Systemname |
|
|
||
|
System-Intranet-Schnittstelle |
|
|
||
|
System-Internet-Schnittstelle |
|
|
||
|
System-Intranet-Adresse |
|
|
||
|
System-Internet-Adresse |
|
|
||
|
Name des Internet-Routers |
|
|
||
|
Adresse des Internet-Routers |
|
|
||
|
Tunnelname |
|
|
-
Nehmen Sie über die Systemkonsole die Rolle eines Primäradministrators an, oder melden Sie sich als Superuser an.
Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.
Hinweis –Eine remote Anmeldung führt zu sicherheitskritischem Datenverkehr, der abgehört werden könnte. Auch wenn Sie eine remote Anmeldung schützen, wird die Sicherheit des Systems auf die Sicherheit der remoten Anmeldesitzung reduziert. Verwenden Sie den Befehl ssh für eine sichere Remoteanmeldung.
-
Kontrollieren Sie den Paketfluss vor der Konfiguration von IPsec.
Informationen zu den Auswirkungen dieser Befehle finden Sie unter Schritt 2 in So schützen Sie ein VPN mit einem IPsec-Tunnel im Tunnelmodus über IPv4.
-
Stellen Sie sicher, dass IP-Weiterleitung und dynamisches IP-Routing deaktiviert sind.
# routeadm Configuration Current Current Option Configuration System State -------------------------------------------------- … IPv6 forwarding disabled disabled IPv6 routing disabled disabledWenn IP-Weiterleitung und dynamisches IP-Routing aktiviert sind, können diese Funktionen wie folgt deaktiviert werden:
# routeadm -d ipv6-forwarding -d ipv6-routing # routeadm -u
-
Aktivieren Sie das IP Strict Destination Multihoming.
# ndd -set /dev/ip ip6_strict_dst_multihoming 1
Achtung – ip_strict_dst_multihoming wird beim Booten des Systems auf den Standardwert zurückgesetzt. Informationen zum dauerhaften Ändern des Wertes finden Sie unter So verhindern Sie IP-Spoofing.
-
Deaktivieren Sie die meisten Netzwerkservices – wenn möglich, alle Netzwerkservices.
Hinweis –Wenn Ihr System mit dem SMF-Profil „limited“ installiert wurde, können Sie diesen Schritt überspringen. Netzwerkservices, mit Ausnahme der Solaris Secure Shell, sind deaktiviert.
Durch Deaktivieren der Netzwerkservices wird verhindert, das IP-Pakete Schaden an einem System anrichten können. Beispielsweise könnten ein SNMP-Daemon, eine telnet-Verbindung oder eine rlogin-Verbindung ausgenutzt werden.
Wählen Sie eine der folgenden Optionen:
-
Wenn Sie das Solaris 10 11/06-Release oder eine aktuellere Version ausführen, rufen Sie das SMF-Profil „limited“ auf.
# netservices limited
-
Alternativ können Sie die Netzwerkservices einzeln deaktivieren.
# svcadm disable network/ftp:default # svcadm disable network/finger:default # svcadm disable network/login:rlogin # svcadm disable network/nfs/server:default # svcadm disable network/rpc/rstat:default # svcadm disable network/smtp:sendmail # svcadm disable network/telnet:default
-
-
Stellen Sie sicher, dass die meisten Netzwerk-Services deaktiviert sind.
Stellen Sie sicher, dass die Loopback-Mounts und der ssh-Service ausgeführt werden.
# svcs | grep network online Aug_02 svc:/network/loopback:default ... online Aug_09 svc:/network/ssh:default
-
-
Fügen Sie zwischen den beiden Systemen zwei SAs hinzu.
Wählen Sie eine der folgenden Optionen:
-
Konfiguration von IKE zur Verwaltung der Schlüssel für die SAs. Zur Konfiguration von IKE für das VPN verwenden Sie eines der Verfahren unter Konfiguration von IKE (Übersicht der Schritte).
-
Wenn ein besonderer Grund vorliegt, die Schlüssel manuell zu konfigurieren, lesen Sie So erstellen Sie manuell IPsec-Sicherheitszuordnungen.
-
-
Fügen Sie eine IPsec-Richtlinie für das VPN hinzu.
Geben Sie die IPsec-Richtlinie für das VPN in die Datei /etc/inet/ipsecinit.conf ein.
-
Auf dem enigma-System geben Sie den folgenden Eintrag in die ipsecinit.conf-Datei ein:
# IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic to and from this host can bypass IPsec. {laddr 6000:6666::aaaa:1116 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared} -
Auf dem partym-System geben Sie den folgenden Eintrag in die ipsecinit.conf-Datei ein:
# IPv6 Neighbor Discovery messages bypass IPsec. {ulp ipv6-icmp type 133-137 dir both} pass {} # LAN traffic to and from this host can bypass IPsec. {laddr 6000:3333::eeee:1113 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip6.tun0 negotiate tunnel} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}
-
-
(Optional) Überprüfen Sie die Syntax der IPsec-Richtliniendatei.
# ipsecconf -c -f /etc/inet/ipsecinit.conf
-
Um den Tunnel zu konfigurieren und ihn mit IPsec zu schützen, folgen Sie den Schritten für die jeweilige Solaris-Version:
-
Folgen Sie ab Solaris 10 4/09 Schritt 7 bis Schritt 13, und führen Sie dann das Routingprotokoll in Schritt 22 aus.
-
Wenn Sie mit einer älteren Version als Solaris 10 4/09 arbeiten, befolgen Sie Schritt 14 bis Schritt 22.
-
-
Konfigurieren Sie den Tunnel ip6.tun0 in der /etc/hostname.ip6.tun0-Datei.
-
Fügen Sie auf dem System enigma den folgenden Eintrag in die hostname6.ip6.tun0-Datei ein:
6000:6666::aaaa:1116 6000:3333::eeee:1113 tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up
-
Fügen Sie auf dem System partym den folgenden Eintrag in die hostname.ip6.tun0-Datei ein.
6000:3333::eeee:1113 6000:6666::aaaa:1116 tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 router up
-
-
Schützen Sie den Tunnel mit der von Ihnen erstellten IPsec-Richtlinie.
# svcadm refresh svc:/network/ipsec/policy:default
-
Um den Inhalt der Tunnelkonfigurationsdatei in den Systemkern einzulesen, starten Sie die Netzwerk-Services neu.
# svcadm restart svc:/network/initial:default
-
Aktivieren Sie die IP-Weiterleitung für die Schnittstelle hme1.
-
Stellen Sie sicher, dass die Routing-Protokolle die Standardroute nicht innerhalb des Intranets bekannt geben.
-
Fügen Sie manuell eine Standardroute über hme0 hinzu.
-
Zum Schluss wechseln Sie zu Schritt 22, um ein Routingprotokoll auszuführen.
-
Konfigurieren Sie den sicheren Tunnel ip6.tun0.
Hinweis –Durch die folgenden Schritte wird ein Tunnel auf einem System konfiguriert, auf dem eine ältere Version als Solaris 10 4/09 ausgeführt wird.
-
Auf dem System enigma geben Sie die folgenden Befehle ein:
# ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333
-
Auf dem System partym geben Sie die folgenden Befehle ein:
# ifconfig ip6.tun0 inet6 plumb # ifconfig ip6.tun0 inet6 6000:3333::eeee:1113 6000:6666::aaaa:1116 \ tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666
-
-
Schützen Sie den Tunnel mit der von Ihnen erstellten IPsec-Richtlinie.
# ipsecconf
-
Aktivieren Sie den Router für den Tunnel.
# ifconfig ip6.tun0 router up
-
Aktivieren Sie auf jedem System die IP-Weiterleitung für die Schnittstelle hme1.
# ifconfig hme1 router
-
Stellen Sie sicher, dass die Routing-Protokolle die Standardroute nicht innerhalb des Intranets bekannt geben.
# ifconfig hme0 private
-
Fügen Sie manuell eine Standardroute über hme0 hinzu.
Die Standardroute muss ein Router mit direktem Zugriff auf das Internet sein.
-
Stellen Sie sicher, dass das VPN nach einem erneuten Booten gestartet wird. Dazu fügen Sie einen Eintrag in die /etc/hostname6.ip6.tun0-Datei ein.
Dieser Eintrag repliziert die Parameter, die in Schritt 14 an den Befehl ifconfig übergeben wurden.
-
Fügen Sie auf dem System enigma den folgenden Eintrag in die hostname6.ip6.tun0-Datei ein:
6000:6666::aaaa:1116 6000:3333::eeee:1113 \ tsrc 2001::aaaa:6666:6666 tdst 2001::eeee:3333:3333 router up
-
Fügen Sie auf dem System partym den folgenden Eintrag in die hostname6.ip6.tun0-Datei ein:
6000:3333::eeee:1113 6000:6666::aaaa:1116 \ tsrc 2001::eeee:3333:3333 tdst 2001::aaaa:6666:6666 router up
-
-
Konfigurieren Sie die Schnittstellendateien auf jedem System so, dass die korrekten Parameter an den Routing-Daemon übergeben werden.
-
Ändern Sie auf dem System enigma die /etc/hostname6. Schnittstelle-Dateien.
# cat /etc/hostname6.hme0 ## enigma 6000:6666::aaaa:1116 inet6 private
# cat /etc/hostname6.hme1 ## enigma 2001::aaaa:6666:6666 inet6 router
-
Ändern Sie auf dem System partym die /etc/hostname6. Schnittstelle-Dateien.
# cat /etc/hostname6.hme0 ## partym 6000:3333::eeee:1113 inet6 private
# cat /etc/hostname6.hme1 ## partym 2001::eeee:3333:3333 inet6 router
-
-
Führen Sie ein Routingprotokoll aus.
# routeadm -e ipv6-routing # routeadm -u
Eventuell müssen Sie das Routing-Protokoll konfigurieren, bevor Sie es ausführen können. Weitere Informationen finden Sie unter Routing-Protokolle in Oracle Solaris. Anweisungen finden Sie unter Konfiguration eines IPv6-Routers.
- © 2010, Oracle Corporation and/or its affiliates