Le VPN sono comunemente utilizzate al giorno d’oggi e non sorprende, viste le varie minacce alla sicurezza presenti là fuori. A volte si desidera utilizzarle per connettersi in modo sicuro alla rete aziendale, altre volte si potrebbe voler effettuare la connessione tramite una rete proxy per rendere anonima la propria posizione. Con l’avvento dell’infrastruttura cloud, molti dei nostri clienti desiderano connettersi in modo sicuro alla propria infrastruttura cloud e potenzialmente mantenere molti dei loro server cloud solo su IP privato, senza esporli con indirizzi IP pubblici.
In generale, ci sono molte situazioni in cui si desidera utilizzare una VPN, quindi in questo post illustro come configurare e avviare rapidamente e facilmente una VPN con cui proteggere la propria infrastruttura cloud.
In questo tutorial imparerai come connettere la tua rete CloudSigma alla tua rete VPN. Questo renderà i tuoi server disponibili come se facessero parte della tua rete domestica da cui stai accedendo.
I prerequisiti sono:
- CentOS 7.
- Una rete interna (LAN) su CloudSigma; con altri server connessi ad essa.
- La tua LAN.
Reti:
- LAN privata remota:
192.168.0.0/24 - Server VPN remoto:
192.168.0.20 - La tua LAN:
192.168.1.0/24 - Server VPN locale:
192.168.1.10
Quindi, iniziamo:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 |
# configurazione libreswan ## installazione yum -y install libreswan ## inizializzazione ipsec initnss ## avvio e abilitazione systemctl enable ipsec systemctl start ipsec ## firewall firewall-cmd --permanent --add-port=500/udp --add-port=4500/udp firewall-cmd --permanent --add-rich-rule='rule protocol value=esp accept' firewall-cmd --permanent --add-rich-rule='rule protocol value=ah accept' firewall-cmd --reload # site-to-site (eseguire su entrambi i server) ## chiavi ipsec newhostkey --configdir /etc/ipsec.d --output /etc/ipsec.d/www.example.com.secrets ipsec showhostkey --left # su locale ipsec showhostkey --right # su remoto ## creare /etc/ipsec.d/mysite.conf ## per favore, sostituisci leftrsasigkey e rightrsasigkey di conseguenza cat << 'EOF' > /etc/ipsec.d/mysite.conf conn mysite leftid=@centos-docker-libreswan1.tbc.cloudsigma.com leftrsasigkey=your-left-key left=192.168.0.20 leftsourceip=192.168.0.20 leftsubnet=192.168.0.0/24 rightid=@centos-docker-libreswan2.tbc.cloudsigma.com rightrsasigkey=your-right-key right=192.168.1.10 rightsourceip=192.168.1.10 rightsubnet=192.168.1.0/24 authby=rsasig auto=start EOF ## riavvio systemctl restart ipsec ## aggiunta ipsec auto --add mysite ipsec auto --up mysite # verifica ping -c 3 192.168.0.20 ping -c 3 192.168.1.10 |
Un’introduzione a ipsec/librewsan
Nel caso in cui tu non abbia familiarità con i concetti di ipsec/libreswan, ecco un’introduzione:
I server left e right sono solo riferimenti per i server che si connettono tra loro. Puoi assegnare questi termini arbitrariamente. Tuttavia, esiste una convenzione. Di solito, chiamiamo il server locale “left” e right è, ovviamente, il server remoto.
Di tutto il routing si occuperà ipsec, quindi non c’è da preoccuparsi. Se un ping non funziona, qualcosa non va nella configurazione. Sentiti libero di usare:
|
1 |
ipsec status |
Per essere in grado di leggere alcuni output criptici quando riscontri questo tipo di problemi. Continua a leggere e a prestare attenzione. Alla fine, ne capirai una parte. 😉
Ora, i riferimenti definitivi sono elencati di seguito. Continua a leggere. Imparerai molte cose interessanti sulle reti VPN e argomenti correlati. Ad esempio, la wiki di LibreSwan contiene un’infinità di configurazioni; incluse quelle specifiche per Cisco, la configurazione “road warrior” (per guardare i programmi Netflix degli Stati Uniti), configurazioni host-to-host e molto altro.
Il manuale RHEL; una delle mie fonti di informazioni preferite, spiega come configurare tutto dall’inizio, in modo lento e ben spiegato. È sicuramente una buona lettura e un’ottima alternativa a questo HowTo.
Commenti
Ancora nessun commento. Scrivi il primo.