Sítě VPN se dnes běžně používají a vzhledem k různým bezpečnostním hrozbám, které se tam venku vyskytují, se tomu nelze divit. Někdy chcete, aby se bezpečně připojily k síti vaší společnosti, jindy se možná budete chtít připojit přes proxy síť, abyste anonymizovali svou polohu. S příchodem cloudové infrastruktury se mnoho našich zákazníků chce bezpečně připojit ke své cloudové infrastruktuře a potenciálně ponechat mnoho svých cloudových serverů pouze na privátní IP adrese, aniž by je vystavovali veřejným IP adresám.
Obecně existuje mnoho situací, kdy chcete použít VPN, takže v tomto příspěvku nastíním, jak rychle a snadno zprovoznit VPN pro zabezpečení vaší cloudové infrastruktury.
V tomto návodu se dozvíte, jak připojit vaši CloudSigma síť k vaší vlastní síti VPN. Díky tomu budou vaše servery dostupné, jako by byly součástí vaší domácí sítě, ze které k nim přistupujete.
Požadavky jsou:
- CentOS 7.
- Interní síť (LAN) v CloudSigma; s dalšími servery, které jsou k ní připojené.
- Vaše vlastní LAN.
Sítě:
- Vzdálená privátní LAN:
192.168.0.0/24 - Vzdálený VPN server:
192.168.0.20 - Vaše vlastní LAN:
192.168.1.0/24 - Lokální VPN server:
192.168.1.10
Takže, pojďme začít:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 |
# nastavení libreswan ## instalace yum -y install libreswan ## inicializace ipsec initnss ## spuštění a povolení systemctl enable ipsec systemctl start ipsec ## firewall firewall-cmd --permanent --add-port=500/udp --add-port=4500/udp firewall-cmd --permanent --add-rich-rule='rule protocol value=esp accept' firewall-cmd --permanent --add-rich-rule='rule protocol value=ah accept' firewall-cmd --reload # site-to-site (spusťte na obou serverech) ## klíče ipsec newhostkey --configdir /etc/ipsec.d --output /etc/ipsec.d/www.example.com.secrets ipsec showhostkey --left # na lokálním ipsec showhostkey --right # na vzdáleném ## vytvořte /etc/ipsec.d/mysite.conf ## prosím, nahraďte leftrsasigkey and rightrsasigkey odpovídajícím způsobem cat << 'EOF' > /etc/ipsec.d/mysite.conf conn mysite leftid=@centos-docker-libreswan1.tbc.cloudsigma.com leftrsasigkey=your-left-key left=192.168.0.20 leftsourceip=192.168.0.20 leftsubnet=192.168.0.0/24 rightid=@centos-docker-libreswan2.tbc.cloudsigma.com rightrsasigkey=your-right-key right=192.168.1.10 rightsourceip=192.168.1.10 rightsubnet=192.168.1.0/24 authby=rsasig auto=start EOF ## restart systemctl restart ipsec ## přidat ipsec auto --add mysite ipsec auto --up mysite # ověření ping -c 3 192.168.0.20 ping -c 3 192.168.1.10 |
Úvod do ipsec/libreswan
Pokud nejste obeznámeni s koncepty ipsec/libreswan, zde je stručný úvod:
Levý a pravý server jsou pouze referenční body pro servery, které se navzájem propojují. Tyto termíny můžete přiřadit libovolně. Přesto však existuje konvence. Obvykle označujeme lokální server jako “levý” a pravý je samozřejmě vzdálený server.
O veškeré směrování se postará ipsec, takže si s tím nemusíte dělat starosti. Pokud ping nefunguje, je něco špatně s konfigurací. Neváhejte použít:
|
1 |
ipsec status |
Abyste byli schopni číst kryptický výstup, když narazíte na tento druh problémů. Nepřestávejte ho číst a věnujte mu pozornost. Časem tomu trochu porozumíte. 😉
Níže jsou uvedeny definitivní odkazy. Čtěte dál. Dovíte se mnoho zajímavých věcí o sítích VPN a souvisejících tématech. Například wiki LibreSwan obsahuje spoustu nastavení; včetně těch specifických pro Cisco, nastavení “road warrior” (pro sledování amerického Netflixu), nastavení host-to-host a mnoho dalších.
Příručka RHEL, jeden z mých nejoblíbenějších zdrojů informací, vysvětluje, jak nastavit vše od začátku, pomalým a dobře vysvětleným způsobem. Rozhodně stojí za přečtení a je skvělou alternativou k tomuto HowTo.
Komentáře
Zatím žádné komentáře. Buďte první.