VPN sieťe sa v dnešnej dobe bežne používajú a vzhľadom na rôzne bezpečnostné hrozby, ktoré existujú, to nie je žiadne prekvapenie. Niekedy chcete, aby sa bezpečne pripojili k sieti vašej spoločnosti, inokedy sa zasa chcete pripojiť cez proxy sieť, aby ste anonymizovali svoju polohu. S príchodom cloudovej infraštruktúry sa mnohí naši zákazníci chcú bezpečne pripojiť k svojej cloudovej infraštruktúre a potenciálne ponechať mnohé zo svojich cloudových serverov iba na súkromnej IP adrese bez toho, aby ich vystavovali verejným IP adresám.
Vo všeobecnosti existuje veľa situácií, kedy chcete použiť VPN, takže v tomto príspevku načrtnem, ako rýchlo a jednoducho spustiť a sprevádzkovať VPN na zabezpečenie vašej cloudovej infraštruktúry.
V tomto návode sa dozviete, ako pripojiť vašu CloudSigma sieť k vašej vlastnej VPN sieti. Vďaka tomu budú vaše servery dostupné tak, akoby boli súčasťou vašej domácej siete, z ktorej k nim pristupujete.
Požiadavky sú:
- CentOS 7.
- Interná sieť (LAN) v CloudSigma; s ďalšími k nej pripojenými servermi.
- Vaša vlastná LAN.
Siete:
- Vzdialená súkromná LAN:
192.168.0.0/24 - Vzdialený VPN server:
192.168.0.20 - Vaša vlastná LAN:
192.168.1.0/24 - Lokálny VPN server:
192.168.1.10
Takže poďme na to:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 |
# nastavenie libreswan ## inštalácia yum -y install libreswan ## inicializácia ipsec initnss ## spustenie a povolenie systemctl enable ipsec systemctl start ipsec ## firewall firewall-cmd --permanent --add-port=500/udp --add-port=4500/udp firewall-cmd --permanent --add-rich-rule='rule protocol value=esp accept' firewall-cmd --permanent --add-rich-rule='rule protocol value=ah accept' firewall-cmd --reload # site-to-site (spustiť na oboch serveroch) ## kľúče ipsec newhostkey --configdir /etc/ipsec.d --output /etc/ipsec.d/www.example.com.secrets ipsec showhostkey --left # na lokálnom ipsec showhostkey --right # na vzdialenom ## vytvoriť /etc/ipsec.d/mysite.conf ## nahraďte leftrsasigkey a rightrsasigkey podľa potreby cat << 'EOF' > /etc/ipsec.d/mysite.conf conn mysite leftid=@centos-docker-libreswan1.tbc.cloudsigma.com leftrsasigkey=your-left-key left=192.168.0.20 leftsourceip=192.168.0.20 leftsubnet=192.168.0.0/24 rightid=@centos-docker-libreswan2.tbc.cloudsigma.com rightrsasigkey=your-right-key right=192.168.1.10 rightsourceip=192.168.1.10 rightsubnet=192.168.1.0/24 authby=rsasig auto=start EOF ## reštart systemctl restart ipsec ## pridať ipsec auto --add mysite ipsec auto --up mysite # overenie ping -c 3 192.168.0.20 ping -c 3 192.168.1.10 |
Úvod do ipsec/librewsan
V prípade, že nie ste oboznámení s konceptmi ipsec/libreswan, tu je stručný úvod:
Ľavý a pravý server sú len referenciami pre servery, ktoré sa navzájom spájajú. Tieto pojmy môžete priradiť ľubovoľne. Napriek tomu existuje konvencia. Zvyčajne nazývame lokálny server “ľavý” a pravý je, samozrejme, vzdialený server.
O všetko smerovanie sa postará ipsec, takže sa o to nemusíte starať. Ak ping nefunguje, niečo nie je v poriadku s konfiguráciou. Neváhajte použiť:
|
1 |
ipsec status |
Aby ste dokázali prečítať kryptický výstup, keď narazíte na takéto problémy. Čítajte ho ďalej a venujte mu pozornosť. Časom tomu nakoniec trochu porozumiete. 😉
Teraz sú nižšie uvedené definitívne referencie. Čítajte ďalej. Dozviete sa veľa zaujímavých vecí o sieťach VPN a súvisiacich témach. Napríklad wiki LibreSwan obsahuje množstvo nastavení; vrátane tých špecifických pre Cisco, nastavenia “road warrior” (sledujte americké relácie na Netflixe), nastavení host-to-host a mnohých ďalších.
Príručka RHEL; jeden z mojich najobľúbenejších zdrojov informácií, vysvetľuje, ako nastaviť všetko od začiatku, pomaly a zrozumiteľne. Je to určite dobré čítanie a skvelá alternatíva k tomuto HowTo.
Komentáre
Zatiaľ žiadne komentáre. Buďte prvý.