VPN’s worden tegenwoordig veelvuldig gebruikt en dat is geen verrassing met de verschillende beveiligingsbedreigingen die er zijn. Soms wilt u dat ze veilig verbinding maken met het netwerk van uw bedrijf, andere keren wilt u misschien verbinding maken via een proxynetwerk om uw locatie te anonimiseren. Met de komst van cloudinfrastructuur willen veel van onze klanten veilig verbinding maken met hun cloudinfrastructuur en mogelijk veel van hun cloudservers op een privé-IP houden zonder ze bloot te stellen aan openbare IP-adressen.
In het algemeen zijn er veel situaties waarin u een VPN wilt gebruiken, dus in dit bericht leg ik uit hoe u snel en eenvoudig een VPN opzet en start om uw cloudinfrastructuur mee te beveiligen.
In deze handleiding leert u hoe u uw CloudSigma netwerk verbindt met uw eigen VPN-netwerk. Dit maakt uw servers beschikbaar alsof ze deel uitmaken van uw thuisnetwerk van waaruit u toegang zoekt.
De vereisten zijn:
- CentOS 7.
- Een intern netwerk (LAN) bij CloudSigma; met andere servers die ermee verbonden zijn.
- Uw eigen LAN.
Netwerken:
- Extern privé-LAN:
192.168.0.0/24 - Externe VPN-server:
192.168.0.20 - Uw eigen LAN:
192.168.1.0/24 - Lokale VPN-server:
192.168.1.10
Dus, laten we beginnen:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 |
# configuratie libreswan ## installeren yum -y install libreswan ## init ipsec initnss ## starten en inschakelen systemctl enable ipsec systemctl start ipsec ## firewall firewall-cmd --permanent --add-port=500/udp --add-port=4500/udp firewall-cmd --permanent --add-rich-rule='rule protocol value=esp accept' firewall-cmd --permanent --add-rich-rule='rule protocol value=ah accept' firewall-cmd --reload # site-to-site (uitvoeren op beide servers) ## sleutels ipsec newhostkey --configdir /etc/ipsec.d --output /etc/ipsec.d/www.example.com.secrets ipsec showhostkey --left # op lokaal ipsec showhostkey --right # op afstand ## maak /etc/ipsec.d/mysite.conf aan ## vervang leftrsasigkey en rightrsasigkey dienovereenkomstig cat << 'EOF' > /etc/ipsec.d/mysite.conf conn mysite leftid=@centos-docker-libreswan1.tbc.cloudsigma.com leftrsasigkey=your-left-key left=192.168.0.20 leftsourceip=192.168.0.20 leftsubnet=192.168.0.0/24 rightid=@centos-docker-libreswan2.tbc.cloudsigma.com rightrsasigkey=your-right-key right=192.168.1.10 rightsourceip=192.168.1.10 rightsubnet=192.168.1.0/24 authby=rsasig auto=start EOF ## herstarten systemctl restart ipsec ## toevoegen ipsec auto --add mysite ipsec auto --up mysite # verifiëren ping -c 3 192.168.0.20 ping -c 3 192.168.1.10 |
Een ipsec/librewsan-introductie
Als u niet bekend bent met ipsec/libreswan-concepten, vindt u hier een introductie:
Linker- en rechterservers zijn slechts verwijzingen naar de servers die met elkaar verbinding maken. Je kunt deze termen willekeurig toewijzen. Toch is er een conventie. Meestal noemen we de lokale server “links” en rechts is uiteraard de externe server.
Alle routering wordt afgehandeld door ipsec, dus daar hoef je je geen zorgen over te maken. Als een ping niet werkt, is er iets mis met de configuratie. Voel je vrij om dit te gebruiken:
|
1 |
ipsec status |
Om cryptische uitvoer te kunnen lezen wanneer je dit soort problemen krijgt. Blijf het lezen en let goed op. Uiteindelijk zul je er wel wat van begrijpen. 😉
Nu staan de definitieve referenties hieronder vermeld. Lees verder. Je zult veel interessante dingen leren over VPN-netwerken en aanverwante zaken. De LibreSwan-wiki bevat bijvoorbeeld een heleboel configuraties; inclusief Cisco-specifieke, “road warrior”-configuratie (bekijk de Amerikaanse Netflix-shows), host-to-host-configuraties en nog veel meer.
De RHEL-handleiding; een van mijn favoriete informatiebronnen, legt uit hoe je alles vanaf het begin opzet, op een rustige en goed uitgelegde manier. Het is absoluut de moeite waard om te lezen en een geweldig alternatief voor deze HowTo.
Reacties
Nog geen reacties. Wees de eerste.