Я пытаюсь установить мост IPsec между моей домашней сетью и моей офисной сетью. Я хочу использовать StrongSwan для шифрования трафика как IPsec
я пытаюсь следовать это руководство
Краткое описание сетей:
В офисной сети 3 машины, подключенные к недорогому маршрутизатору D-link, 2 из них - Linux-боксы, и к ним можно получить доступ из сети IPsec. Другой компьютер - это Windows, и он не должен видеть трафик IPsec.
в домашней сети есть 2 машины, одна из которых - linux, которая должна иметь доступ и быть доступной из сети IPsec. Другой компьютер - это Windows, и он не должен видеть трафик IPsec.
Я не знаю, как это сделать, но у меня есть 3 вопроса, которые сейчас очень волнуют меня:
1) сначала общий вопрос; если предположить, что можно и практично организовать предварительное раскрытие секретов за пределами Интернета (что в данном случае так и есть), будет ли ручная установка ключей в целом более безопасной, чем установка IKE или IKEv2?
2) Я немного читал о подсетях, и, согласно моей интерпретации документации strongswan, я должен установить сеть типа «сеть-сеть», но я не уверен, где мне искать правую / левую / правую подсеть / leftsubnet ip и маски для настройки ipsec. РЕДАКТИРОВАТЬ Чтобы быть более точным, я смотрю на ifconfig
вывод и пытаемся решить, как это перевести, чтобы настроить права подсети / левую подсеть. Какие машины составляют шлюзы? Любые идеи? извините, если этот вопрос крайне тривиален
3) Я хочу создать тестовую сеть IPsec дома с использованием машин виртуальных боксов перед развертыванием любых настроек в реальных сетях. Это сработает? сколько виртуальных машин мне нужно, чтобы создать реалистичный сценарий?
Спасибо за терпеливость
(кстати, у меня все еще недостаточно репутации, чтобы создать тег "strongswan". Если кто-то его создаст, я буду рад обновить пост с его помощью)
Вот диаграмма, объясняющая, что такое левая подсеть и что такое правая подсеть:
Левый_компьютер (192.168.0.2/24) <---> (192.168.0.1/24) Левый_ipsec_ Gateway(Some_left_public_ip) <---> ИНТЕРНЕТ <---> (Some_right_public_ip) Правый_ipsec_gateway (192.168.1.1/24)<--- > (192.168.1.2/24) Правый_компьютер
Левая подсеть здесь 192.168.0.0/24, а правая подсеть 192.168.1.0/24.
Для Left_computer (192.168.0.2/24) вы должны указать Left_ipsec_gateway (192.168.0.1/24) в качестве шлюза для Right_subnet (192.168.1.0/24). Обычно маршрут по умолчанию уже делает это автоматически за вас. Вы должны сделать то же самое и для правильной подсети. Также по этой причине я называю компьютер, на котором работает StrongSwan, «шлюзом IPsec».
Надеюсь это поможет. У Strongswan есть вики с диаграммами, которые вы, возможно, захотите посмотреть.