Eine Anleitung: VPN-Netzwerk mit der CloudSigma-Infrastruktur verbinden

Renich2016-07-15 · 4 min read

Eine Anleitung: VPN-Netzwerk mit der CloudSigma-Infrastruktur verbinden

VPNs sind heutzutage weit verbreitet, und das ist angesichts der verschiedenen Sicherheitsbedrohungen da draußen keine Überraschung. Manchmal möchten Sie, dass sie sich sicher mit dem Netzwerk Ihres Unternehmens verbinden, ein anderes Mal möchten Sie sich vielleicht über ein Proxy-Netzwerk verbinden, um Ihren Standort zu anonymisieren. Mit dem Aufkommen von Cloud-Infrastrukturen möchten viele unserer Kunden eine sichere Verbindung zu ihrer Cloud-Infrastruktur herstellen und möglicherweise viele ihrer Cloud-Server ausschließlich auf privaten IPs belassen, ohne sie über öffentliche IP-Adressen preiszugeben.

Im Allgemeinen gibt es viele Situationen, in denen Sie ein VPN verwenden möchten. In diesem Beitrag beschreibe ich daher, wie Sie schnell und einfach ein VPN einrichten und ausführen können, um Ihre Cloud-Infrastruktur damit zu sichern.

In diesem Tutorial lernen Sie, wie Sie Ihr CloudSigma -Netzwerk mit Ihrem eigenen VPN-Netzwerk verbinden. Dadurch werden Ihre Server so verfügbar, als wären sie Teil Ihres Heimnetzwerks, von dem aus Sie zugreifen.

Die Voraussetzungen sind:

CentOS 7.
Ein internes Netzwerk (LAN) bei CloudSigma; mit dem andere Server verbunden sind.
Ihr eigenes LAN.

Netzwerke:

Entferntes privates LAN: 192.168.0.0/24
Entfernter VPN-Server: 192.168.0.20
Ihr eigenes LAN: 192.168.1.0/24
Lokaler VPN-Server: 192.168.1.10

Also, legen wir los:

# libreswan einrichten
## installieren
yum -y install libreswan

## initialisieren
ipsec initnss

## starten und aktivieren
systemctl enable ipsec
systemctl start ipsec

## Firewall
firewall-cmd --permanent --add-port=500/udp --add-port=4500/udp
firewall-cmd --permanent --add-rich-rule='rule protocol value=esp accept'
firewall-cmd --permanent --add-rich-rule='rule protocol value=ah accept'
firewall-cmd --reload


# Site-to-Site (auf beiden Servern ausführen)
## Schlüssel
ipsec newhostkey --configdir /etc/ipsec.d --output /etc/ipsec.d/www.example.com.secrets
ipsec showhostkey --left # auf lokalem Server
ipsec showhostkey --right # auf entferntem Server

## /etc/ipsec.d/mysite.conf erstellen
## Bitte ersetzen Sie leftrsasigkey und rightrsasigkey entsprechend
cat << 'EOF' > /etc/ipsec.d/mysite.conf
conn mysite
    leftid=@centos-docker-libreswan1.tbc.cloudsigma.com
    leftrsasigkey=your-left-key
    left=192.168.0.20
    leftsourceip=192.168.0.20
    leftsubnet=192.168.0.0/24
    rightid=@centos-docker-libreswan2.tbc.cloudsigma.com
    rightrsasigkey=your-right-key
    right=192.168.1.10
    rightsourceip=192.168.1.10
    rightsubnet=192.168.1.0/24
    authby=rsasig
    auto=start

EOF

## Neustart
systemctl restart ipsec

## hinzufügen
ipsec auto --add mysite
ipsec auto --up mysite

# überprüfen
ping -c 3 192.168.0.20
ping -c 3 192.168.1.10

# libreswan einrichten

## installieren

yum -y install libreswan

## initialisieren

ipsec initnss

## starten und aktivieren

systemctl enable ipsec

systemctl start ipsec

## Firewall

firewall-cmd --permanent --add-port=500/udp --add-port=4500/udp

firewall-cmd --permanent --add-rich-rule='rule protocol value=esp accept'

firewall-cmd --permanent --add-rich-rule='rule protocol value=ah accept'

firewall-cmd --reload

# Site-to-Site (auf beiden Servern ausführen)

## Schlüssel

ipsec newhostkey --configdir /etc/ipsec.d --output /etc/ipsec.d/www.example.com.secrets

ipsec showhostkey --left # auf lokalem Server

ipsec showhostkey --right # auf entferntem Server

## /etc/ipsec.d/mysite.conf erstellen

## Bitte ersetzen Sie leftrsasigkey und rightrsasigkey entsprechend

cat << 'EOF' > /etc/ipsec.d/mysite.conf

conn mysite

leftid=@centos-docker-libreswan1.tbc.cloudsigma.com

leftrsasigkey=your-left-key

left=192.168.0.20

leftsourceip=192.168.0.20

leftsubnet=192.168.0.0/24

rightid=@centos-docker-libreswan2.tbc.cloudsigma.com

rightrsasigkey=your-right-key

right=192.168.1.10

rightsourceip=192.168.1.10

rightsubnet=192.168.1.0/24

authby=rsasig

auto=start

EOF

## Neustart

systemctl restart ipsec

## hinzufügen

ipsec auto --add mysite

ipsec auto --up mysite

# überprüfen

ping -c 3 192.168.0.20

ping -c 3 192.168.1.10

Eine Einführung in ipsec/libreswan

Falls Sie mit den Konzepten von ipsec/libreswan nicht vertraut sind, finden Sie hier eine Einführung:

Linke und rechte Server sind nur Referenzen für die Server, die sich miteinander verbinden. Sie können diese Begriffe willkürlich zuweisen. Dennoch gibt es eine Konvention. Normalerweise nennen wir den lokalen Server “links” und rechts ist, offensichtlich, der Remote-Server.

Das gesamte Routing wird von ipsec übernommen, Sie müssen sich also keine Sorgen machen. Wenn ein Ping nicht funktioniert, stimmt etwas mit der Konfiguration nicht. Sie können gerne Folgendes verwenden:

ipsec status

1	ipsec status

Um kryptische Ausgaben lesen zu können, wenn solche Probleme auftreten. Lesen Sie einfach weiter und achten Sie darauf. Sie werden schließlich einiges davon verstehen. 😉

Nun sind die definitiven Referenzen unten aufgeführt. Lesen Sie weiter. Sie werden viele interessante Dinge über VPN-Netzwerke und verwandte Themen erfahren. Zum Beispiel enthält das LibreSwan-Wiki eine Vielzahl von Setups; einschließlich Cisco-spezifischer, “Road Warrior”-Setups (um US-Netflix-Shows anzusehen), Host-to-Host-Setups und viele mehr.

Das RHEL-Handbuch, eine meiner bevorzugten Informationsquellen, erklärt von Anfang an langsam und gut verständlich, wie man alles einrichtet. Es ist definitiv eine empfehlenswerte Lektüre und eine großartige Alternative zu diesem HowTo.

Referenzen

Renich

Autor · CloudSigma

Preslav Dobrev ist ein kreativer Designer bei CloudSigma und konzentriert sich auf eine konsistente Unternehmensidentität durch traditionelle und innovative Marketingkanäle. Er versteht es meisterhaft, künstlerische Vision mit strategischem Marketing zu verbinden, um wirkungsvolle Markengeschichten zu schaffen.