現今 VPN 已被廣泛使用,面對各種安全威脅,這並不令人意外。有時您希望透過它們安全地連接到貴公司的網路,有時您可能希望透過代理網路進行連接以隱藏您的位置。隨著雲端基礎設施的出現,我們的許多客戶都希望安全地連接到他們的雲端基礎設施,並可能將其許多雲端伺服器僅保留在私有 IP 上,而不透過公用 IP 位址將其公開。
總之,在許多情況下您都會想使用 VPN,因此在本文中,我將概述如何快速且輕鬆地建立並執行 VPN,以保護您的雲端基礎設施安全。
在本教學中,您將學習如何將您的 CloudSigma 網路連接到您自己的 VPN 網路。這將使您的伺服器變得可用,就像它們是您正在存取的家用網路的一部分一樣。
必備條件為:
- CentOS 7。
- CloudSigma 的內部網路 (LAN);且有其他伺服器連接至該網路。
- 您自己的區域網路 (LAN)。
網路:
- 遠端私有區域網路 (LAN):
192.168.0.0/24 - 遠端 VPN 伺服器:
192.168.0.20 - 您自己的區域網路 (LAN):
192.168.1.0/24 - 本機 VPN 伺服器:
192.168.1.10
那麼,讓我們開始吧:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 |
# 設定 libreswan ## 安裝 yum -y install libreswan ## 初始化 ipsec initnss ## 啟動並啟用 systemctl enable ipsec systemctl start ipsec ## 防火牆 firewall-cmd --permanent --add-port=500/udp --add-port=4500/udp firewall-cmd --permanent --add-rich-rule='rule protocol value=esp accept' firewall-cmd --permanent --add-rich-rule='rule protocol value=ah accept' firewall-cmd --reload # 站點對站點 (在兩台伺服器上執行) ## 金鑰 ipsec newhostkey --configdir /etc/ipsec.d --output /etc/ipsec.d/www.example.com.secrets ipsec showhostkey --left # 在本地 ipsec showhostkey --right # 在遠端 ## 建立 /etc/ipsec.d/mysite.conf ## 請相應地替換 leftrsasigkey 和 rightrsasigkey cat << 'EOF' > /etc/ipsec.d/mysite.conf conn mysite leftid=@centos-docker-libreswan1.tbc.cloudsigma.com leftrsasigkey=your-left-key left=192.168.0.20 leftsourceip=192.168.0.20 leftsubnet=192.168.0.0/24 rightid=@centos-docker-libreswan2.tbc.cloudsigma.com rightrsasigkey=your-right-key right=192.168.1.10 rightsourceip=192.168.1.10 rightsubnet=192.168.1.0/24 authby=rsasig auto=start EOF ## 重啟 systemctl restart ipsec ## 新增 ipsec auto --add mysite ipsec auto --up mysite # 驗證 ping -c 3 192.168.0.20 ping -c 3 192.168.1.10 |
ipsec/libreswan 入門指南
如果您不熟悉 ipsec/libreswan 的概念,這裡有一份入門指南:
「左」和「右」伺服器僅是用於互相連接的伺服器的參考稱呼。您可以任意指定這些術語。然而,這有一個慣例。通常,我們將本地伺服器稱為“左”,而右邊顯然就是遠端伺服器。
所有路由都將由 ipsec 處理,因此無需擔心。如果 ping 無法運作,則表示設定有問題。歡迎隨時使用:
|
1 |
ipsec status |
以便在遇到此類問題時,能夠讀懂一些晦澀難懂的輸出資訊。繼續閱讀並保持關注。您最終會理解其中的一部分。😉
現在,權威參考文獻列於下方。請繼續閱讀。您將學到許多關於 VPN 網路及相關內容的有趣知識。例如,LibreSwan 維基包含大量的設定;包括 Cisco 特定的設定、“路途戰士” 設定(收看美國 Netflix 節目)、主機對主機設定等更多內容。
RHEL 手冊是我最喜歡的資訊來源之一,它循序漸進且詳細地解釋了如何從頭開始設定一切。這絕對值得一讀,也是本 HowTo 的絕佳替代方案。
留言
目前尚無留言。成為第一個留言的人吧。