VPN-ovi su danas u širokoj upotrebi i to nije iznenađenje s obzirom na razne sigurnosne prijetnje koje vrebaju. Ponekad se želite sigurno povezati s mrežom svoje tvrtke, a drugi put se možda želite povezati putem proxy mreže kako biste anonimizirali svoju lokaciju. S pojavom infrastrukture u oblaku, mnogi naši korisnici žele se sigurno povezati sa svojom infrastrukturom u oblaku i potencijalno zadržati mnoge od svojih poslužitelja u oblaku isključivo na privatnim IP adresama, bez njihovog izlaganja javnim IP adresama.
Općenito, postoji mnogo situacija u kojima želite koristiti VPN, pa u ovom članku opisujem kako brzo i jednostavno pokrenuti VPN za osiguranje vaše infrastrukture u oblaku.
U ovom vodiču naučit ćete kako povezati svoju CloudSigma mrežu s vlastitom VPN mrežom. To će učiniti vaše poslužitelje dostupnima kao da su dio vaše kućne mreže s koje pristupate.
Preduvjeti su:
- CentOS 7.
- Interna mreža (LAN) kod CloudSigma; s ostalim poslužiteljima povezanim na nju.
- Vaš vlastiti LAN.
Mreže:
- Udaljeni privatni LAN:
192.168.0.0/24 - Udaljeni VPN poslužitelj:
192.168.0.20 - Vaš vlastiti LAN:
192.168.1.0/24 - Lokalni VPN poslužitelj:
192.168.1.10
Dakle, krenimo:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 |
# postavljanje libreswana ## instalacija yum -y install libreswan ## inicijalizacija ipsec initnss ## pokretanje i omogućavanje systemctl enable ipsec systemctl start ipsec ## vatrozid firewall-cmd --permanent --add-port=500/udp --add-port=4500/udp firewall-cmd --permanent --add-rich-rule='rule protocol value=esp accept' firewall-cmd --permanent --add-rich-rule='rule protocol value=ah accept' firewall-cmd --reload # site-to-site (pokrenite na oba poslužitelja) ## ključevi ipsec newhostkey --configdir /etc/ipsec.d --output /etc/ipsec.d/www.example.com.secrets ipsec showhostkey --left # na lokalnom ipsec showhostkey --right # na udaljenom ## kreirajte /etc/ipsec.d/mysite.conf ## molimo, zamijenite leftrsasigkey i rightrsasigkey u skladu s tim cat << 'EOF' > /etc/ipsec.d/mysite.conf conn mysite leftid=@centos-docker-libreswan1.tbc.cloudsigma.com leftrsasigkey=vaš-lijevi-ključ left=192.168.0.20 leftsourceip=192.168.0.20 leftsubnet=192.168.0.0/24 rightid=@centos-docker-libreswan2.tbc.cloudsigma.com rightrsasigkey=vaš-desni-ključ right=192.168.1.10 rightsourceip=192.168.1.10 rightsubnet=192.168.1.0/24 authby=rsasig auto=start EOF ## ponovno pokretanje systemctl restart ipsec ## dodavanje ipsec auto --add mysite ipsec auto --up mysite # provjera ping -c 3 192.168.0.20 ping -c 3 192.168.1.10 |
Uvod u ipsec/libreswan
U slučaju da niste upoznati s konceptima ipsec/libreswan, evo kratkog uvoda:
Lijevi i desni poslužitelji samo su reference za poslužitelje koji se međusobno povezuju. Ove pojmove možete dodijeliti proizvoljno. Ipak, postoji konvencija. Obično lokalni poslužitelj nazivamo “lijevi”, a desni je, očito, udaljeni poslužitelj.
Za cjelokupno usmjeravanje pobrinut će se ipsec, tako da ne morate brinuti o tome. Ako ping ne radi, nešto nije u redu s konfiguracijom. Slobodno upotrijebite:
|
1 |
ipsec status |
Kako biste mogli pročitati kriptični ispis kada naiđete na ovakve probleme. Nastavite ga čitati i obraćati pažnju. S vremenom ćete razumjeti dio toga. 😉
Sada su konačne reference navedene u nastavku. Čitajte dalje. Naučit ćete mnogo zanimljivih stvari o VPN mrežama i srodnim temama. Na primjer, LibreSwan wiki sadrži mnoštvo konfiguracija; uključujući one specifične za Cisco, “road warrior” konfiguraciju (gledajte američke Netflix emisije), host-to-host konfiguracije i još mnogo toga.
RHEL priručnik; jedan od mojih omiljenih izvora informacija, objašnjava kako postaviti sve ispočetka, na polagan i dobro objašnjen način. Svakako ga je dobro pročitati i izvrsna je alternativa ovom HowTo.
Komentari
Još nema komentara. Budite prvi.