Las VPN son de uso común hoy en día y no es de extrañar con las diversas amenazas de seguridad que existen. A veces desea que se conecten a la red de su empresa de forma segura, otras veces es posible que desee conectarse a través de una red proxy para anonimizar su ubicación. Con el advenimiento de la infraestructura en la nube, muchos de nuestros clientes desean conectarse de forma segura a su infraestructura en la nube y potencialmente mantener muchos de sus servidores en la nube solo con IP privada sin exponerlos con direcciones IP públicas.
En general, hay muchas situaciones en las que desea utilizar una VPN, por lo que en esta publicación describo cómo poner en marcha una VPN de forma rápida y sencilla para proteger su infraestructura en la nube.
En este tutorial, aprenderá cómo conectar su CloudSigma red a su propia red VPN. Esto hará que sus servidores estén disponibles como si fueran parte de la red de su hogar desde la cual está accediendo.
Los requisitos previos son:
- CentOS 7.
- Una red interna (LAN) en CloudSigma; con otros servidores conectados a ella.
- Su propia LAN.
Redes:
- LAN privada remota:
192.168.0.0/24 - Servidor VPN remoto:
192.168.0.20 - Su propia LAN:
192.168.1.0/24 - Servidor VPN local:
192.168.1.10
Así que, empecemos:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 |
# configurar libreswan ## instalar yum -y install libreswan ## iniciar ipsec initnss ## iniciar y habilitar systemctl enable ipsec systemctl start ipsec ## firewall firewall-cmd --permanent --add-port=500/udp --add-port=4500/udp firewall-cmd --permanent --add-rich-rule='rule protocol value=esp accept' firewall-cmd --permanent --add-rich-rule='rule protocol value=ah accept' firewall-cmd --reload # sitio a sitio (ejecutar en ambos servidores) ## claves ipsec newhostkey --configdir /etc/ipsec.d --output /etc/ipsec.d/www.example.com.secrets ipsec showhostkey --left # en local ipsec showhostkey --right # en remoto ## crear /etc/ipsec.d/mysite.conf ## por favor, reemplace leftrsasigkey y rightrsasigkey según corresponda cat << 'EOF' > /etc/ipsec.d/mysite.conf conn mysite leftid=@centos-docker-libreswan1.tbc.cloudsigma.com leftrsasigkey=su-clave-izquierda left=192.168.0.20 leftsourceip=192.168.0.20 leftsubnet=192.168.0.0/24 rightid=@centos-docker-libreswan2.tbc.cloudsigma.com rightrsasigkey=su-clave-derecha right=192.168.1.10 rightsourceip=192.168.1.10 rightsubnet=192.168.1.0/24 authby=rsasig auto=start EOF ## reiniciar systemctl restart ipsec ## añadir ipsec auto --add mysite ipsec auto --up mysite # verificar ping -c 3 192.168.0.20 ping -c 3 192.168.1.10 |
Una introducción a ipsec/librewsan
En caso de que no esté familiarizado con los conceptos de ipsec/libreswan, aquí tiene una introducción:
Los servidores izquierdo y derecho son solo referencias para los servidores que se conectan entre sí. Puede asignar estos términos de forma arbitraria. Sin embargo, existe una convención. Por lo general, llamamos al servidor local “izquierdo” y el derecho es, obviamente, el servidor remoto.
Todo el enrutamiento será gestionado por ipsec, así que no hay de qué preocuparse. Si un ping no funciona, algo está mal en la configuración. Siéntase libre de usar:
|
1 |
ipsec status |
Para poder leer alguna salida críptica cuando tenga este tipo de problemas. Siga leyéndola y prestando atención. Eventualmente, entenderá algo de ella. 😉
Ahora, las referencias definitivas se enumeran a continuación. Siga leyendo. Aprenderá muchas cosas interesantes sobre las redes VPN y temas relacionados. Por ejemplo, la wiki de LibreSwan contiene un montón de configuraciones; incluyendo las específicas de Cisco, la configuración “road warrior” (para ver programas de Netflix de EE. UU.), configuraciones host-to-host y muchas más.
El manual de RHEL; una de mis fuentes de información favoritas, explica cómo configurar todo desde el principio, de manera pausada y bien explicada. Definitivamente es una buena lectura y una gran alternativa a este HowTo.
Comentarios
Aún no hay comentarios. Sea el primero.