vim /etc/sysconfig/network-scripts/ifcfg-enxxx
!
BOOTPROTO=none
IPADDR=사용IP
NETMASK=사용 MASK
GATEWAY=사용 GATEWAY IP
ONBOOT=yes
!
*공인, 내부 IP를 동시에 사용하는 Protector, Gateway는 인터페이스1 공인, 인터페이스2 사설로 세팅한다.
systemctl stop firewalld
systemctl disable firewalld
vim /etc/selinux/conf
!
SELINUX=disabled
!
cd /etc/rc.d/rc.local
chmod 755 rc.local
systemctl enable rc-local
systemctl start rc-local
vim /etc/rc.d/rc.local
!
/etc/rc.d/iprule.sh
useradd tgate
passwd tgate
tgatetgate
tgatetgate
tar -zxvf TgateServerTools_V4.0.0_2023-02-08.tar.gz
cd /home/tgate/tools/__installation__/bin
./1.install_tgate_mysql.sh
Enter
출력된 값 입력
Qwer!234
Qwer!234
yes
Qwer!234
Qwer!234
y (총 5번)
./2.install_tgate_was.sh #./3.install_jasper_server.sh
./4.install_realtime_server.sh
./5.install_search_server.sh
./6.install_radius_server_for_sdp.sh
cd /home/tgate/
tar–zxvf TgateServerSetup_V4.0.0_2022-11-03.tar.gz
cd /home/tgate/core/_installation__/
./install_tgate_console.sh
./install_tgate_np_for_sdp.sh
./install_tgate_server.sh
./install_tgate_sdp.sh
*Controller, Protector가 한 장비로 세팅되는 경우에는 3-2. 프로텍터 설치로 이동
모든 설치가 완료되면 서버를 재시작합니다.
reboot
https://서버IP/tgate
admin, admin
초기 계정 정보 변경 mlsoft, tcosecuip1!
초기 인증키가 47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU= 인 경우 인증키 변경
mysql -uroot -p
대박나자
use tgate;
select CONFIG_KEY, CONFIG_VALUE from C_CONFIG where CONFIG_KEY='CONFIG_CERTIFICATIONKEY';
delete from C_CONFIG where CONFIG_KEY='CONFIG_CERTIFICATIONKEY';
select CONFIG_KEY, CONFIG_VALUE from C_CONFIG where CONFIG_KEY='CONFIG_CERTIFICATIONKEY';
Empty set 확인
exit
./home/tgate/bin/shutdown.sh
./home/tgate/bin/shutdown.sh
ps -ef | grep tomcat
값이 없으면 성공이다.
./home/tgate/bin/startup.sh
인증키 변경됨을 확인.
인증키를 이용해 라이센스를 발급받는다.
cd /home/tgate/tools/ssl/cacert
chmod 755 createClientCert.sh createGatewayCert.sh
createRootCACert.sh
./createRootCACert.sh
./createGatewayCert.sh
게이트웨이 공인아이피 입력
./createClientCert.sh
패스워드 입력 기본값 : Qwer!234 생성 후 들고 있어야 하는 인증서
Agent : TgateSDP.p12
Gateway : TgateSDPCACert.der
vpnHostCert.der
vpnHostKey.der
cd /home/tage/tools/ssl/bin
./createHTTPSkey.sh
/home/tgate/tools/ssl/cert 에 인증서 생성 확인.
서버 설치할때 kcmvp는 자동으로 생성된다.
현재 상황은 컨트롤러에 인증서들을 백업 후 그대로 프로텍터에 넣어 설치하고 있다. (프로텍터와 컨트롤러가 각각 있을 경우)
자동으로 인증서가 설치되므로 키값이 상이하다.
cd /home/tage/config
vim env.properties
!
sdp.api.key=10자리 난수 생성
!
vim tim_service.properties
m3p.tim.api.key=10자리 난수 생성
!
모두 같은 값으로 통일하며, 이후 에이전트에도 사용합니다.
생성한 값은 고객사 고유 값이며, 관리합니다.
10자리 난수로 생성할 때 생성기로 생성하여 넣어도 된다. 고객사별로 고유값으로 관리해야한다.
Controller ip도 real ip로 바꿔주는것이 좋다. (127.0.0.1 보다는 분리가 되었을 때 따로 설정을 해야하기 떄문에 대역대를 하나 넣어주는것이 좋다.)
1. 관리자 콘솔 접속
2. 운영 탭에서 프로텍터 선택
3. 추가 버튼을 통해 프로텍터 추가
ID : 임의 지정 (기억 필요)
프로텍터 이름 : 임의 지정
IP : 프로텍터 내부 아이피
*Controller, Protector 한 장비일 경우 127.0.0.1
포트 : 443
활성화 : 사용 체크
설명 : 임의 지정
1. 추가한 프로텍터 더블 클릭 및 수정
2. 생성된 ID, 시크릿키 확인
cd /home/tgate/config
vim np_service.properties
!
m3p.tim.addr=https://[Controller IP]:443/m3p-tim *같은 장비일 경우 Controller IP 127.0.0.1
m3p.protector.id=ID값
m3p.auth.secret.key=시크릿값
m3p.keepalive.lifetime=5000
!
reboot or web 재기동
콘솔 창에서 초록불 2개 verify
tar–zxvf TgateSdpGatewaySetup_V4.0.0_r318_20230207.tar.gz
./config_TgateSdp_Gateway_CentOS_V7.9.sh
y
./install_TgateSdp_Gateway.sh
y
config setup은 인터넷이 되면 yum update를 하고 설치할 수 있으나, 폐쇄망으로 설치할 때는 n으로 설치해도 무방하다. 필요한 내용은 다 담겨있다.
인터넷이 되는 환경에서 설치하면 static ip 이므로 /etc/resolv.conf 에 nameserver 추가 후 진행하면 된다.
2-5 인증서 생성 에서 생성한 파일 다운로드
/home/tgate/tools_sdp/ssl/cacert/cert/TgateSDPCACert.der
/home/tgate/tools_sdp/ssl/cacert/cert/[게이트웨이IP]/vpnHostCert.der
/home/tgate/tools_sdp/ssl/cacert/cert/[게이트웨이IP]/vpnHostKey.der
게이트웨이 scp를 통해 업로드
파일 : TgateSDPCACert.der
경로 : /etc/strongswan/ipsec.d/cacerts
파일 : vpnHostCert.der 경로 : /etc/strongswan/ipsec.d/certs
파일 : vpnHostKey.der 경로 : /etc/strongswan/ipsec.d/private
1. 관리자 콘솔 접속
2. 운영 탭에서 게이트웨이 선택
3. 추가 버튼을 통해 게이트웨이 추가
게이트웨이 이름 : 임의 지정
IP : 게이트웨이 공인 아이피
포트 : 8443
게이트웨이 그룹 : "그룹없음"
활성화 : 사용 체크
NAT 모드 : 사용 체크
* 내부 IP: 게이트웨이 내부 IP (게이트웨이와 프로텍터가 L2 통신 가능할 때 설정)
고객사에서 별다른 요청사항이 없으면 전체, 접속허용으로 한다. 서브넷은 %any
터널 ip 대역은 고객사와 협의가 필요하다. (default 7.7.6.0/24)
1. 추가한 게이트웨이 더블클릭 및 수정
2. 생성한 AID, 시크릿 키 확인
생성하면 0100x 순으로 번호가 생성된다. 시크릿 값도 생성됨 (해당 값으로 cni 설정이 있음)
cd opt/tin
./make_config.sh
Input AID of The Gateway : 생성된 AID 값
Input Secret Key of the Gateway : 생성된 시크릿키
Input IP Address of The Protector Server : protector IP (l2일 경우 내부ip)
Input IP Address of The Controller Server : Controller IP
Input Connect Port Number : protector 포트 (기본값 : 443)
Input Listen Port Number : GW 포트 (기본값 : 8443)
Input Open IP List : SSH 접근이 가능한 IP, 빈 값 입력시 모든 IP open
Protector는 DMZ영역에 있을떈 공인 IP가 들어가게된다.
내부 IP는 내부에 사용자 인증 요청할 때 사용하므로 IP대역을 넣어줘야한다.
1. 설치 완료시 같은 경로에 config.ini가 생성됩니다
aid : 게이트웨이 aid
Secretkey : 게이트웨이 시크릿키
ProtectorIp : 프로텍터 IP (L2일 경우 내부아이피)
ConnectPort : 프로텍터와 통신 port
listenPort : 게이트웨이 통신 port
openIPList : “useFirewall = Y” 일 때 open IP
useMasquerade : Nat모드(Y), Bridge 모드(N) 설정 (NAT모드 관련 체크)
useFirewall : 방화벽 사용 여부( 사용시 openIpList, 컨트롤러, 프로텍터, openIPList, 서비스 포트 제외하고 모두 차단) (동적 방화벽)
myIP = 게이트웨이의 공인 IP (NAT 환경일 경우 내부IP)
오류사항이 있으면 수정가능하다. OpenIPlist는 동적 방화벽을 올리지 않으면 따로 기입하지 않음. Y일때만 같이 들어가는 리스트이다.
vim /opt/tin3/check_proc.sh
!
고객사 사용하는 내부대역대 or 디폴트 대역 7.7.6.0/24로 수정
!
Strongswan reload
ps -ef | grep tin
kill -9 프로세스
/opt/tin/tinagent stop
Crontab에 등록된 check_proc.shrk 1분마다 실행
tinagent 동작
iftop 대역대, tinagent, grep --color=auto tin 3개가 떠야 되고 콘솔창에서도 초록불 2개를 확인할 수 있어야 정상이다.
댓글남기기