Οδηγός: Πώς να συνδέσετε δίκτυο VPN στην υποδομή CloudSigma

Renich2016-07-15 · 4 min read

Οδηγός: Πώς να συνδέσετε δίκτυο VPN στην υποδομή CloudSigma

Τα VPN χρησιμοποιούνται ευρέως στις μέρες μας και αυτό δεν αποτελεί έκπληξη με τις διάφορες απειλές ασφαλείας που υπάρχουν εκεί έξω. Μερικές φορές θέλετε να συνδεθούν με ασφάλεια στο δίκτυο της εταιρείας σας, άλλες φορές μπορεί να θέλετε να συνδεθείτε μέσω ενός δικτύου proxy προκειμένου να αποκρύψετε την τοποθεσία σας. Με την έλευση των υποδομών cloud, πολλοί από τους πελάτες μας θέλουν να συνδέονται με ασφάλεια στην υποδομή cloud τους και ενδεχομένως να διατηρούν πολλούς από τους διακομιστές cloud τους μόνο σε ιδιωτική IP, χωρίς να τους εκθέτουν με δημόσιες διευθύνσεις IP.

Γενικά, υπάρχουν πολλές περιπτώσεις όπου θέλετε να χρησιμοποιήσετε ένα VPN, οπότε σε αυτήν την ανάρτηση περιγράφω πώς να θέσετε γρήγορα και εύκολα σε λειτουργία ένα VPN για να ασφαλίσετε την υποδομή cloud σας.

Σε αυτό το σεμινάριο, θα μάθετε πώς να συνδέσετε το CloudSigma δίκτυο στο δικό σας δίκτυο VPN. Αυτό θα καταστήσει τους διακομιστές σας διαθέσιμους σαν να ήταν μέρος του οικιακού σας δικτύου από το οποίο έχετε πρόσβαση.

Οι προϋποθέσεις είναι:

CentOS 7.
Ένα εσωτερικό δίκτυο (LAN) στην CloudSigma, με άλλους διακομιστές συνδεδεμένους σε αυτό.
Το δικό σας LAN.

Δίκτυα:

Απομακρυσμένο ιδιωτικό LAN: 192.168.0.0/24
Απομακρυσμένος διακομιστής VPN: 192.168.0.20
Το δικό σας LAN: 192.168.1.0/24
Τοπικός διακομιστής VPN: 192.168.1.10

Λοιπόν, ας ξεκινήσουμε:

# ρύθμιση libreswan
## εγκατάσταση
yum -y install libreswan

## αρχικοποίηση
ipsec initnss

## εκκίνηση και ενεργοποίηση
systemctl enable ipsec
systemctl start ipsec

## τείχος προστασίας
firewall-cmd --permanent --add-port=500/udp --add-port=4500/udp
firewall-cmd --permanent --add-rich-rule='rule protocol value=esp accept'
firewall-cmd --permanent --add-rich-rule='rule protocol value=ah accept'
firewall-cmd --reload


# site-to-site (εκτέλεση και στους δύο διακομιστές)
## κλειδιά
ipsec newhostkey --configdir /etc/ipsec.d --output /etc/ipsec.d/www.example.com.secrets
ipsec showhostkey --left # σε τοπικό
ipsec showhostkey --right # σε απομακρυσμένο

## δημιουργία του /etc/ipsec.d/mysite.conf
## παρακαλώ, αντικαταστήστε τα leftrsasigkey και rightrsasigkey αναλόγως
cat << 'EOF' > /etc/ipsec.d/mysite.conf
conn mysite
    leftid=@centos-docker-libreswan1.tbc.cloudsigma.com
    leftrsasigkey=your-left-key
    left=192.168.0.20
    leftsourceip=192.168.0.20
    leftsubnet=192.168.0.0/24
    rightid=@centos-docker-libreswan2.tbc.cloudsigma.com
    rightrsasigkey=your-right-key
    right=192.168.1.10
    rightsourceip=192.168.1.10
    rightsubnet=192.168.1.0/24
    authby=rsasig
    auto=start

EOF

## επανεκκίνηση
systemctl restart ipsec

## προσθήκη
ipsec auto --add mysite
ipsec auto --up mysite

# επαλήθευση
ping -c 3 192.168.0.20
ping -c 3 192.168.1.10

# ρύθμιση libreswan

## εγκατάσταση

yum -y install libreswan

## αρχικοποίηση

ipsec initnss

## εκκίνηση και ενεργοποίηση

systemctl enable ipsec

systemctl start ipsec

## τείχος προστασίας

firewall-cmd --permanent --add-port=500/udp --add-port=4500/udp

firewall-cmd --permanent --add-rich-rule='rule protocol value=esp accept'

firewall-cmd --permanent --add-rich-rule='rule protocol value=ah accept'

firewall-cmd --reload

# site-to-site (εκτέλεση και στους δύο διακομιστές)

## κλειδιά

ipsec newhostkey --configdir /etc/ipsec.d --output /etc/ipsec.d/www.example.com.secrets

ipsec showhostkey --left # σε τοπικό

ipsec showhostkey --right # σε απομακρυσμένο

## δημιουργία του /etc/ipsec.d/mysite.conf

## παρακαλώ, αντικαταστήστε τα leftrsasigkey και rightrsasigkey αναλόγως

cat << 'EOF' > /etc/ipsec.d/mysite.conf

conn mysite

leftid=@centos-docker-libreswan1.tbc.cloudsigma.com

leftrsasigkey=your-left-key

left=192.168.0.20

leftsourceip=192.168.0.20

leftsubnet=192.168.0.0/24

rightid=@centos-docker-libreswan2.tbc.cloudsigma.com

rightrsasigkey=your-right-key

right=192.168.1.10

rightsourceip=192.168.1.10

rightsubnet=192.168.1.0/24

authby=rsasig

auto=start

EOF

## επανεκκίνηση

systemctl restart ipsec

## προσθήκη

ipsec auto --add mysite

ipsec auto --up mysite

# επαλήθευση

ping -c 3 192.168.0.20

ping -c 3 192.168.1.10

Μια εισαγωγή στο ipsec/libreswan

Σε περίπτωση που δεν είστε εξοικειωμένοι με τις έννοιες του ipsec/libreswan, ορίστε μια εισαγωγή:

Οι αριστεροί και δεξιοί διακομιστές είναι μόνο αναφορές για τους διακομιστές που συνδέονται μεταξύ τους. Μπορείτε να ορίσετε αυτούς τους όρους αυθαίρετα. Ωστόσο, υπάρχει μια σύμβαση. Συνήθως, ονομάζουμε τον τοπικό διακομιστή “αριστερό” και ο δεξιός είναι, προφανώς, ο απομακρυσμένος διακομιστής.

Όλη η δρομολόγηση θα διευθετηθεί από το ipsec, οπότε δεν χρειάζεται να ανησυχείτε γι’ αυτό. Αν ένα ping δεν λειτουργεί, κάτι πάει λάθος με τη διαμόρφωση. Μη διστάσετε να χρησιμοποιήσετε:

ipsec status

1	ipsec status

Για να μπορείτε να διαβάσετε κάποια κρυπτική έξοδο όταν αντιμετωπίζετε τέτοιου είδους προβλήματα. Συνεχίστε να τη διαβάζετε και να προσέχετε. Τελικά, θα καταλάβετε κάποια πράγματα από αυτήν. 😉

Τώρα, οι οριστικές αναφορές παρατίθενται παρακάτω. Διαβάστε παρακάτω. Θα μάθετε πολλά ενδιαφέροντα πράγματα για τα δίκτυα VPN και σχετικά θέματα. Για παράδειγμα, το wiki του LibreSwan περιέχει ένα σωρό ρυθμίσεις, συμπεριλαμβανομένων αυτών που αφορούν ειδικά τη Cisco, τη ρύθμιση “road warrior” (παρακολουθήστε εκπομπές του Netflix των ΗΠΑ), ρυθμίσεις host-to-host και πολλά άλλα.

Το εγχειρίδιο του RHEL, μια από τις αγαπημένες μου πηγές πληροφοριών, εξηγεί πώς να ρυθμίσετε τα πάντα από την αρχή, με αργό και καλά επεξηγημένο τρόπο. Είναι σίγουρα ένα καλό ανάγνωσμα και μια εξαιρετική εναλλακτική λύση σε αυτό το HowTo.

Αναφορές

Renich

Συγγραφέας · CloudSigma

Ο Preslav Dobrev είναι Δημιουργικός Σχεδιαστής στην CloudSigma, με εστίαση στη συνεπή επιχειρηματική ταυτότητα μέσω παραδοσιακών και καινοτόμων καναλιών μάρκετινγκ. Διαθέτει την ικανότητα να συνδυάζει το καλλιτεχνικό όραμα με το στρατηγικό μάρκετινγκ για τη δημιουργία εντυπωσιακών αφηγήσεων επωνυμίας.