Sieci VPN są obecnie powszechnie używane i nie jest to zaskoczeniem, biorąc pod uwagę różne zagrożenia bezpieczeństwa, które czyhają w sieci. Czasami chcesz, aby bezpiecznie łączyły się z siecią Twojej firmy, innym razem możesz chcieć połączyć się przez sieć proxy w celu zanonimizowania swojej lokalizacji. Wraz z pojawieniem się infrastruktury chmurowej wielu naszych klientów chce bezpiecznie łączyć się ze swoją infrastrukturą chmurową i potencjalnie utrzymywać wiele swoich serwerów chmurowych wyłącznie na prywatnych adresach IP, bez udostępniania ich za pomocą publicznych adresów IP.
Ogólnie rzecz biorąc, istnieje wiele sytuacji, w których chcesz korzystać z VPN, dlatego w tym poście opisuję, jak szybko i łatwo uruchomić VPN, aby zabezpieczyć swoją infrastrukturę chmurową.
W tym samouczku dowiesz się, jak połączyć swoją CloudSigma sieć z własną siecią VPN. Dzięki temu Twoje serwery będą dostępne tak, jakby były częścią Twojej sieci domowej, z której uzyskujesz dostęp.
Wymagania wstępne to:
- CentOS 7.
- Wewnętrzna sieć (LAN) w CloudSigma; z podłączonymi do niej innymi serwerami.
- Twoja własna sieć LAN.
Sieci:
- Zdalna prywatna sieć LAN:
192.168.0.0/24 - Zdalny serwer VPN:
192.168.0.20 - Twoja własna sieć LAN:
192.168.1.0/24 - Lokalny serwer VPN:
192.168.1.10
A więc zacznijmy:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 |
# konfiguracja libreswan ## instalacja yum -y install libreswan ## inicjalizacja ipsec initnss ## uruchomienie i włączenie systemctl enable ipsec systemctl start ipsec ## zapora sieciowa firewall-cmd --permanent --add-port=500/udp --add-port=4500/udp firewall-cmd --permanent --add-rich-rule='rule protocol value=esp accept' firewall-cmd --permanent --add-rich-rule='rule protocol value=ah accept' firewall-cmd --reload # site-to-site (uruchom na obu serwerach) ## klucze ipsec newhostkey --configdir /etc/ipsec.d --output /etc/ipsec.d/www.example.com.secrets ipsec showhostkey --left # na lokalnym ipsec showhostkey --right # na zdalnym ## utwórz /etc/ipsec.d/mysite.conf ## proszę odpowiednio zastąpić leftrsasigkey i rightrsasigkey cat << 'EOF' > /etc/ipsec.d/mysite.conf conn mysite leftid=@centos-docker-libreswan1.tbc.cloudsigma.com leftrsasigkey=twój-lewy-klucz left=192.168.0.20 leftsourceip=192.168.0.20 leftsubnet=192.168.0.0/24 rightid=@centos-docker-libreswan2.tbc.cloudsigma.com rightrsasigkey=twój-prawy-klucz right=192.168.1.10 rightsourceip=192.168.1.10 rightsubnet=192.168.1.0/24 authby=rsasig auto=start EOF ## restart systemctl restart ipsec ## dodaj ipsec auto --add mysite ipsec auto --up mysite # weryfikacja ping -c 3 192.168.0.20 ping -c 3 192.168.1.10 |
Wprowadzenie do ipsec/libreswan
Jeśli nie znasz pojęć związanych z ipsec/libreswan, oto krótkie wprowadzenie:
Serwery lewy i prawy to tylko punkty odniesienia dla łączących się ze sobą serwerów. Możesz przypisać te określenia dowolnie. Istnieje jednak pewna konwencja. Zazwyczaj lokalny serwer nazywamy “lewym”, a prawy to, co oczywiste, serwer zdalny.
Całym routingiem zajmie się ipsec, więc nie musisz się o to martwić. Jeśli ping nie działa, coś jest nie tak z konfiguracją. Śmiało użyj:
|
1 |
ipsec status |
Aby móc odczytać te nieco kryptyczne komunikaty, gdy napotkasz tego rodzaju problemy. Czytaj je dalej i zwracaj na nie uwagę. W końcu zrozumiesz część z nich. 😉
Poniżej wymieniono ostateczne źródła. Czytaj dalej. Dowiesz się wielu ciekawych rzeczy o sieciach VPN i powiązanych zagadnieniach. Na przykład wiki LibreSwan zawiera mnóstwo przykładowych konfiguracji, w tym specyficzne dla Cisco, konfigurację “road warrior” (aby oglądać amerykańskiego Netfliksa), konfiguracje host-to-host i wiele innych.
Podręcznik RHEL, jedno z moich ulubionych źródeł informacji, wyjaśnia, jak skonfigurować wszystko od samego początku, powoli i w dobrze wyjaśniony sposób. To zdecydowanie dobra lektura i świetna alternatywa dla tego HowTo.
Komentarze
Brak komentarzy. Bądź pierwszy.