Útmutató: VPN-hálózat csatlakoztatása a CloudSigma infrastruktúrához

Renich2016-07-15 · 4 min read

Útmutató: VPN-hálózat csatlakoztatása a CloudSigma infrastruktúrához

A VPN-ek manapság elterjedtek, és ez nem meglepő a különféle biztonsági fenyegetések mellett. Néha azt szeretné, hogy biztonságosan csatlakozzanak a vállalati hálózathoz, máskor pedig egy proxy hálózaton keresztül szeretne csatlakozni a tartózkodási helye anonimizálása érdekében. A felhőalapú infrastruktúra megjelenésével sok ügyfelünk szeretne biztonságosan csatlakozni a felhőalapú infrastruktúrájához, és potenciálisan sok felhőszerverét kizárólag privát IP-címen tartani, anélkül, hogy nyilvános IP-címekkel tenné ki őket a nyilvánosságnak.

Általánosságban elmondható, hogy számos olyan helyzet adódik, amikor VPN-t szeretne használni, ezért ebben a bejegyzésben vázolom, hogyan hozhat létre gyorsan és egyszerűen egy működő VPN-t a felhőalapú infrastruktúrája biztosítására.

Ebben az útmutatóban megtanulhatja, hogyan csatlakoztassa a CloudSigma hálózatát a saját VPN-hálózatához. Ezáltal a szerverei úgy lesznek elérhetők, mintha annak az otthoni hálózatnak a részei lennének, amelyről eléri őket.

Az előfeltételek a következők:

CentOS 7.
Egy belső hálózat (LAN) a CloudSigma-nál; más szerverekkel csatlakoztatva hozzá.
A saját LAN-ja.

Hálózatok:

Távoli privát LAN: 192.168.0.0/24
Távoli VPN szerver: 192.168.0.20
Saját LAN: 192.168.1.0/24
Helyi VPN szerver: 192.168.1.10

Tehát, kezdjük el:

# libreswan beállítása
## telepítés
yum -y install libreswan

## inicializálás
ipsec initnss

## indítás és engedélyezés
systemctl enable ipsec
systemctl start ipsec

## tűzfal
firewall-cmd --permanent --add-port=500/udp --add-port=4500/udp
firewall-cmd --permanent --add-rich-rule='rule protocol value=esp accept'
firewall-cmd --permanent --add-rich-rule='rule protocol value=ah accept'
firewall-cmd --reload


# site-to-site (futtassa mindkét szerveren)
## kulcsok
ipsec newhostkey --configdir /etc/ipsec.d --output /etc/ipsec.d/www.example.com.secrets
ipsec showhostkey --left # a helyi gépen
ipsec showhostkey --right # a távoli gépen

## /etc/ipsec.d/mysite.conf létrehozása
## kérjük, helyettesítse be a leftrsasigkey és rightrsasigkey értékeket értelemszerűen
cat << 'EOF' > /etc/ipsec.d/mysite.conf
conn mysite
    leftid=@centos-docker-libreswan1.tbc.cloudsigma.com
    leftrsasigkey=your-left-key
    left=192.168.0.20
    leftsourceip=192.168.0.20
    leftsubnet=192.168.0.0/24
    rightid=@centos-docker-libreswan2.tbc.cloudsigma.com
    rightrsasigkey=your-right-key
    right=192.168.1.10
    rightsourceip=192.168.1.10
    rightsubnet=192.168.1.0/24
    authby=rsasig
    auto=start

EOF

## újraindítás
systemctl restart ipsec

## hozzáadás
ipsec auto --add mysite
ipsec auto --up mysite

# ellenőrzés
ping -c 3 192.168.0.20
ping -c 3 192.168.1.10

# libreswan beállítása

## telepítés

yum -y install libreswan

## inicializálás

ipsec initnss

## indítás és engedélyezés

systemctl enable ipsec

systemctl start ipsec

## tűzfal

firewall-cmd --permanent --add-port=500/udp --add-port=4500/udp

firewall-cmd --permanent --add-rich-rule='rule protocol value=esp accept'

firewall-cmd --permanent --add-rich-rule='rule protocol value=ah accept'

firewall-cmd --reload

# site-to-site (futtassa mindkét szerveren)

## kulcsok

ipsec newhostkey --configdir /etc/ipsec.d --output /etc/ipsec.d/www.example.com.secrets

ipsec showhostkey --left # a helyi gépen

ipsec showhostkey --right # a távoli gépen

## /etc/ipsec.d/mysite.conf létrehozása

## kérjük, helyettesítse be a leftrsasigkey és rightrsasigkey értékeket értelemszerűen

cat << 'EOF' > /etc/ipsec.d/mysite.conf

conn mysite

leftid=@centos-docker-libreswan1.tbc.cloudsigma.com

leftrsasigkey=your-left-key

left=192.168.0.20

leftsourceip=192.168.0.20

leftsubnet=192.168.0.0/24

rightid=@centos-docker-libreswan2.tbc.cloudsigma.com

rightrsasigkey=your-right-key

right=192.168.1.10

rightsourceip=192.168.1.10

rightsubnet=192.168.1.0/24

authby=rsasig

auto=start

EOF

## újraindítás

systemctl restart ipsec

## hozzáadás

ipsec auto --add mysite

ipsec auto --up mysite

# ellenőrzés

ping -c 3 192.168.0.20

ping -c 3 192.168.1.10

Egy ipsec/libreswan alapozó

Ha nem ismeri az ipsec/libreswan fogalmait, íme egy alapozó:

A bal és jobb oldali szerverek csak hivatkozások az egymáshoz kapcsolódó szerverekre. Ezeket a kifejezéseket tetszőlegesen hozzárendelheti. Létezik azonban egy egyezmény. Általában a helyi szervert nevezzük “balnak”, a jobb pedig nyilvánvalóan a távoli szerver.

Az összes útválasztásról az ipsec gondoskodik, így nem kell aggódnia miatta. Ha a ping nem működik, valami nincs rendben a konfigurációval. Nyugodtan használja a következőt:

ipsec status

1	ipsec status

Hogy el tudjon olvasni néhány rejtélyes kimenetet, amikor ilyen problémákkal találkozik. Olvassa tovább és figyeljen oda. Idővel meg fog érteni belőle valamennyit. 😉

Most pedig az alábbiakban láthatók a mérvadó hivatkozások. Olvasson tovább. Sok érdekes dolgot fog megtudni a VPN-hálózatokról és a kapcsolódó dolgokról. Például a LibreSwan wiki rengeteg konfigurációt tartalmaz; beleértve a Cisco-specifikusakat, a “road warrior” beállítást (amerikai Netflix műsorok nézéséhez), a host-to-host beállításokat és még sok mást.

A RHEL kézikönyv; az egyik kedvenc információforrásom, lassan és jól érthetően magyarázza el, hogyan kell mindent beállítani a kezdetektől fogva. Határozottan jó olvasmány, és nagyszerű alternatívája ennek a HowTo-nak.

Hivatkozások

Renich

Szerző · CloudSigma

Preslav Dobrev a CloudSigma kreatív tervezője, aki hagyományos és innovatív marketingcsatornák segítségével következetes vállalati identitás kialakítására összpontosít. Kiemelkedően képes ötvözni a művészi látásmódot a stratégiai marketinggel, hogy hatásos márkatörténeteket hozzon létre.