Les VPN sont couramment utilisés de nos jours et ce n’est pas une surprise avec les diverses menaces de sécurité qui existent. Parfois, vous souhaitez qu'ils se connectent en toute sécurité au réseau de votre entreprise, d'autres fois, vous pouvez vouloir vous connecter via un réseau proxy afin d'anonymiser votre emplacement. Avec l'avènement de l'infrastructure cloud, beaucoup de nos clients souhaitent se connecter en toute sécurité à leur infrastructure cloud et potentiellement conserver bon nombre de leurs serveurs cloud sur une IP privée uniquement sans les exposer avec des adresses IP publiques.
En général, il existe de nombreuses situations où vous souhaitez utiliser un VPN, donc dans cet article, je décris comment configurer rapidement et facilement un VPN pour sécuriser votre infrastructure cloud.
Dans ce tutoriel, vous apprendrez comment connecter votre CloudSigma réseau à votre propre réseau VPN. Cela rendra vos serveurs disponibles comme s'ils faisaient partie de votre réseau domestique à partir duquel vous accédez.
Les prérequis sont :
- CentOS 7.
- Un réseau interne (LAN) chez CloudSigma ; avec d'autres serveurs connectés à celui-ci.
- Votre propre LAN.
Réseaux :
- LAN privé distant :
192.168.0.0/24 - Serveur VPN distant :
192.168.0.20 - Votre propre LAN :
192.168.1.0/24 - Serveur VPN local :
192.168.1.10
Alors, c’est parti :
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 |
# configuration de libreswan ## installation yum -y install libreswan ## initialisation ipsec initnss ## démarrer et activer systemctl enable ipsec systemctl start ipsec ## pare-feu firewall-cmd --permanent --add-port=500/udp --add-port=4500/udp firewall-cmd --permanent --add-rich-rule='rule protocol value=esp accept' firewall-cmd --permanent --add-rich-rule='rule protocol value=ah accept' firewall-cmd --reload # site à site (exécuter sur les deux serveurs) ## clés ipsec newhostkey --configdir /etc/ipsec.d --output /etc/ipsec.d/www.example.com.secrets ipsec showhostkey --left # sur le serveur local ipsec showhostkey --right # sur le serveur distant ## créer /etc/ipsec.d/mysite.conf ## veuillez remplacer leftrsasigkey et rightrsasigkey en conséquence cat << 'EOF' > /etc/ipsec.d/mysite.conf conn mysite leftid=@centos-docker-libreswan1.tbc.cloudsigma.com leftrsasigkey=votre-gauche-clé left=192.168.0.20 leftsourceip=192.168.0.20 leftsubnet=192.168.0.0/24 rightid=@centos-docker-libreswan2.tbc.cloudsigma.com rightrsasigkey=votre-droite-clé right=192.168.1.10 rightsourceip=192.168.1.10 rightsubnet=192.168.1.0/24 authby=rsasig auto=start EOF ## redémarrer systemctl restart ipsec ## ajouter ipsec auto --add mysite ipsec auto --up mysite # vérifier ping -c 3 192.168.0.20 ping -c 3 192.168.1.10 |
Une introduction à ipsec/libreswan
Au cas où vous ne seriez pas familier avec les concepts d’ipsec/libreswan, voici une introduction :
Les serveurs gauche et droit ne sont que des références pour les serveurs se connectant l’un à l’autre. Vous pouvez attribuer ces termes de manière arbitraire. Pourtant, il existe une convention. Généralement, nous appelons le serveur local “gauche” et le droit est, évidemment, le serveur distant.
Tout le routage sera pris en charge par ipsec, il n’y a donc pas à s’en soucier. Si un ping ne fonctionne pas, quelque chose ne va pas avec la configuration. N’hésitez pas à utiliser :
|
1 |
ipsec status |
Pour être capable de lire des sorties cryptiques lorsque vous rencontrez ce genre de problèmes. Continuez à les lire et à y prêter attention. Vous finirez, avec le temps, par en comprendre une partie. 😉
Maintenant, les références définitives sont listées ci-dessous. Lisez la suite. Vous apprendrez beaucoup de choses intéressantes sur les réseaux VPN et les sujets connexes. Par exemple, le wiki de LibreSwan contient une tonne de configurations ; y compris celles spécifiques à Cisco, la configuration “road warrior” (regarder les séries Netflix US), des configurations d’hôte à hôte et bien d’autres encore.
Le manuel RHEL ; l’une de mes sources d’information préférées, explique comment tout configurer depuis le début, de manière progressive et bien expliquée. C’est définitivement une bonne lecture et une excellente alternative à ce HowTo.
Commentaires
Aucun commentaire pour l'instant. Soyez le premier.