В наши дни VPN используются повсеместно, и это неудивительно, учитывая различные угрозы безопасности. Иногда вам нужно безопасно подключиться к сети вашей компании, в других случаях вы можете захотеть подключиться через прокси-сеть, чтобы скрыть свое местоположение. С появлением облачной инфраструктуры многие наши клиенты хотят безопасно подключаться к своей облачной инфраструктуре и, возможно, держать многие из своих облачных серверов только на приватных IP-адресах, не открывая их для публичного доступа.
В целом, существует множество ситуаций, когда вам может понадобиться VPN, поэтому в этой статье я расскажу, как быстро и легко настроить и запустить VPN для защиты вашей облачной инфраструктуры.
В этом руководстве вы узнаете, как подключить вашу CloudSigma сеть к вашей собственной сети VPN. Это сделает ваши серверы доступными так, как если бы они были частью вашей домашней сети, из которой вы осуществляете доступ.
Предварительные требования:
- CentOS 7.
- Внутренняя сеть (LAN) в CloudSigma с подключенными к ней другими серверами.
- Ваша собственная локальная сеть (LAN).
Сети:
- Удаленная частная локальная сеть:
192.168.0.0/24 - Удаленный VPN-сервер:
192.168.0.20 - Ваша собственная локальная сеть:
192.168.1.0/24 - Локальный VPN-сервер:
192.168.1.10
Итак, начнем:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 |
# настройка libreswan ## установка yum -y install libreswan ## инициализация ipsec initnss ## запуск и включение автозагрузки systemctl enable ipsec systemctl start ipsec ## брандмауэр firewall-cmd --permanent --add-port=500/udp --add-port=4500/udp firewall-cmd --permanent --add-rich-rule='rule protocol value=esp accept' firewall-cmd --permanent --add-rich-rule='rule protocol value=ah accept' firewall-cmd --reload # site-to-site (запустить на обоих серверах) ## ключи ipsec newhostkey --configdir /etc/ipsec.d --output /etc/ipsec.d/www.example.com.secrets ipsec showhostkey --left # на локальном ipsec showhostkey --right # на удаленном ## создание /etc/ipsec.d/mysite.conf ## пожалуйста, замените leftrsasigkey и rightrsasigkey соответствующим образом cat << 'EOF' > /etc/ipsec.d/mysite.conf conn mysite leftid=@centos-docker-libreswan1.tbc.cloudsigma.com leftrsasigkey=your-left-key left=192.168.0.20 leftsourceip=192.168.0.20 leftsubnet=192.168.0.0/24 rightid=@centos-docker-libreswan2.tbc.cloudsigma.com rightrsasigkey=your-right-key right=192.168.1.10 rightsourceip=192.168.1.10 rightsubnet=192.168.1.0/24 authby=rsasig auto=start EOF ## перезапуск systemctl restart ipsec ## добавление ipsec auto --add mysite ipsec auto --up mysite # проверка ping -c 3 192.168.0.20 ping -c 3 192.168.1.10 |
Введение в ipsec/libreswan
Если вы не знакомы с концепциями ipsec/libreswan, вот краткое руководство:
Левый и правый серверы — это лишь обозначения для серверов, подключающихся друг к другу. Вы можете назначать эти термины произвольно. Тем не менее, существует соглашение. Обычно мы называем локальный сервер “левым”, а правый — это, очевидно, удаленный сервер.
Вся маршрутизация будет осуществляться ipsec, так что беспокоиться об этом не нужно. Если пинг не проходит, значит, что-то не так с конфигурацией. Вы можете использовать:
|
1 |
ipsec status |
Чтобы иметь возможность разобраться в непонятном выводе, когда возникают подобные проблемы. Продолжайте читать его и будьте внимательны. Со временем вы начнете кое-что понимать. 😉
Ниже приведены основные справочные материалы. Читайте дальше. Вы узнаете много интересного о сетях VPN и сопутствующих вещах. Например, вики LibreSwan содержит огромное количество вариантов настройки, включая специфические для Cisco, настройку “road warrior” (для просмотра американских шоу на Netflix), конфигурации host-to-host и многое другое.
Руководство RHEL — один из моих любимых источников информации — подробно и доступно объясняет, как настроить все с самого начала. Это определенно полезное чтение и отличная альтернатива этому HowTo.
Комментарии
Комментариев пока нет. Будьте первым.