Назад | Перейти на главную страницу

Настройка strongSwan ipsec, пара вопросов

Я пытаюсь установить мост IPsec между моей домашней сетью и моей офисной сетью. Я хочу использовать StrongSwan для шифрования трафика как IPsec

я пытаюсь следовать это руководство

Краткое описание сетей:

Я не знаю, как это сделать, но у меня есть 3 вопроса, которые сейчас очень волнуют меня:

1) сначала общий вопрос; если предположить, что можно и практично организовать предварительное раскрытие секретов за пределами Интернета (что в данном случае так и есть), будет ли ручная установка ключей в целом более безопасной, чем установка IKE или IKEv2?

2) Я немного читал о подсетях, и, согласно моей интерпретации документации strongswan, я должен установить сеть типа «сеть-сеть», но я не уверен, где мне искать правую / левую / правую подсеть / leftsubnet ip и маски для настройки ipsec. РЕДАКТИРОВАТЬ Чтобы быть более точным, я смотрю на ifconfig вывод и пытаемся решить, как это перевести, чтобы настроить права подсети / левую подсеть. Какие машины составляют шлюзы? Любые идеи? извините, если этот вопрос крайне тривиален

3) Я хочу создать тестовую сеть IPsec дома с использованием машин виртуальных боксов перед развертыванием любых настроек в реальных сетях. Это сработает? сколько виртуальных машин мне нужно, чтобы создать реалистичный сценарий?

Спасибо за терпеливость

(кстати, у меня все еще недостаточно репутации, чтобы создать тег "strongswan". Если кто-то его создаст, я буду рад обновить пост с его помощью)

  1. Настройка предварительных общих ключей по-прежнему подразумевает, что вы будете использовать протокол IKE для согласования ключей. И да, предварительные общие ключи считаются безопасными, пока они не скомпрометированы. То же самое касается сертификатов - схема PKI безопасна, а закрытые ключи не скомпрометированы.
  2. Единственное простое правило - левая подсеть и правая подсеть не должны пересекаться (например, нет IP-адресов, принадлежащих обеим подсетям). Взгляните на образец диаграммы ниже или в Google, чтобы получить образец файла ipsec.conf на веб-сайте strongswan.
  3. Вам потребуются как минимум 2 виртуальные машины, которые будут работать как «шлюзы IPsec». Если вам нужны более экзотические функции (например, обход NAT), вам также понадобятся виртуальные машины, которые будут выполнять NATTing (маршрутизатор).

Вот диаграмма, объясняющая, что такое левая подсеть и что такое правая подсеть:

Левый_компьютер (192.168.0.2/24) <---> (192.168.0.1/24) Левый_ipsec_ Gateway(Some_left_public_ip) <---> ИНТЕРНЕТ <---> (Some_right_public_ip) Правый_ipsec_gateway (192.168.1.1/24)<--- > (192.168.1.2/24) Правый_компьютер

Левая подсеть здесь 192.168.0.0/24, а правая подсеть 192.168.1.0/24.

Для Left_computer (192.168.0.2/24) вы должны указать Left_ipsec_gateway (192.168.0.1/24) в качестве шлюза для Right_subnet (192.168.1.0/24). Обычно маршрут по умолчанию уже делает это автоматически за вас. Вы должны сделать то же самое и для правильной подсети. Также по этой причине я называю компьютер, на котором работает StrongSwan, «шлюзом IPsec».

Надеюсь это поможет. У Strongswan есть вики с диаграммами, которые вы, возможно, захотите посмотреть.