As VPNs são de uso comum hoje em dia e não é surpresa com as várias ameaças de segurança que existem por aí. Às vezes, você deseja que elas se conectem à rede da sua empresa de forma segura, outras vezes você pode querer se conectar através de uma rede proxy para anonimizar sua localização. Com o advento da infraestrutura em nuvem, muitos de nossos clientes desejam se conectar com segurança à sua infraestrutura em nuvem e, potencialmente, manter muitos de seus servidores em nuvem apenas em IP privado, sem expô-los com endereços IP públicos.
Em geral, existem muitas situações em que você deseja usar uma VPN, por isso, neste post, descrevo como configurar e colocar em funcionamento uma VPN de forma rápida e fácil para proteger sua infraestrutura em nuvem.
Neste tutorial, você aprenderá como conectar sua CloudSigma rede à sua própria rede VPN. Isso tornará seus servidores disponíveis como se fossem parte da sua rede doméstica a partir da qual você está acessando.
Os pré-requisitos são:
- CentOS 7.
- Uma rede interna (LAN) na CloudSigma; com outros servidores conectados a ela.
- Sua própria LAN.
Redes:
- LAN privada remota:
192.168.0.0/24 - Servidor VPN remoto:
192.168.0.20 - Sua própria LAN:
192.168.1.0/24 - Servidor VPN local:
192.168.1.10
Então, vamos começar:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 |
# configurar libreswan ## instalar yum -y install libreswan ## iniciar ipsec initnss ## iniciar e habilitar systemctl enable ipsec systemctl start ipsec ## firewall firewall-cmd --permanent --add-port=500/udp --add-port=4500/udp firewall-cmd --permanent --add-rich-rule='rule protocol value=esp accept' firewall-cmd --permanent --add-rich-rule='rule protocol value=ah accept' firewall-cmd --reload # site-to-site (executar em ambos os servidores) ## chaves ipsec newhostkey --configdir /etc/ipsec.d --output /etc/ipsec.d/www.example.com.secrets ipsec showhostkey --left # no local ipsec showhostkey --right # no remoto ## criar /etc/ipsec.d/mysite.conf ## por favor, substitua leftrsasigkey e rightrsasigkey de acordo cat << 'EOF' > /etc/ipsec.d/mysite.conf conn mysite leftid=@centos-docker-libreswan1.tbc.cloudsigma.com leftrsasigkey=sua-esquerda-chave left=192.168.0.20 leftsourceip=192.168.0.20 leftsubnet=192.168.0.0/24 rightid=@centos-docker-libreswan2.tbc.cloudsigma.com rightrsasigkey=sua-direita-chave right=192.168.1.10 rightsourceip=192.168.1.10 rightsubnet=192.168.1.0/24 authby=rsasig auto=start EOF ## reiniciar systemctl restart ipsec ## adicionar ipsec auto --add mysite ipsec auto --up mysite # verificar ping -c 3 192.168.0.20 ping -c 3 192.168.1.10 |
Uma introdução ao ipsec/librewsan
Caso você não esteja familiarizado com os conceitos do ipsec/libreswan, aqui está uma introdução:
Os servidores left e right são apenas referências para os servidores que se conectam entre si. Você pode atribuir esses termos arbitrariamente. No entanto, existe uma convenção. Geralmente, chamamos o servidor local de “left” e o right é, obviamente, o servidor remoto.
Todo o roteamento será tratado pelo ipsec, então não há necessidade de se preocupar com isso. Se um ping não funcionar, algo está errado com a configuração. Sinta-se à vontade para usar:
|
1 |
ipsec status |
Para ser capaz de ler algumas saídas enigmáticas quando você tiver esse tipo de problema. Continue lendo e prestando atenção. Você, eventualmente, entenderá um pouco disso. 😉
Agora, as referências definitivas estão listadas abaixo. Continue lendo. Você aprenderá muitas coisas interessantes sobre redes VPN e assuntos relacionados. Por exemplo, a wiki do LibreSwan contém uma tonelada de configurações; incluindo as específicas da Cisco, configuração “road warrior” (para assistir aos programas da Netflix dos EUA), configurações host-to-host e muito mais.
O manual do RHEL; uma das minhas fontes favoritas de informação, explica como configurar tudo desde o início, de maneira lenta e bem explicada. É definitivamente uma boa leitura e uma ótima alternativa a este HowTo.
Comentários
Nenhum comentário ainda. Seja o primeiro.