Быстрая настройка ipsec туннеля на Linux
Быстрая настройка ipsec туннеля на Linux
Часто в работе необходимо быстро и качественно настроить защищенный туннель, например в ситуации когда необходимо соединить два филиала в одну сеть или соединить офисную сеть с VPS (Virtual Private Server) или VDS (Virtual Dedicated Server) — услуга, в рамках которой пользователю предоставляется так называемый Виртуальный выделенный сервер, при выборе хостера посмотрите в сторону https://adminvps.ru/vps/vps_russia.php — аренда виртуального VPS/VDS сервера в России.
Реализация:
Москва IP: 222.222.222.222/29 Москва VPN Network: 192.168.8.0/24
Вашингтон IP: 555.555.555.555/29 Вашингтон VPN Network: 192.168.22.0/24
Устанавливаем на обоих хостах:
apt-get install racoon ipsec-tools
Настраиваем racoon
Москва
/etc/racoon/racoon.conf
path pre_shared_key «/etc/racoon/psk.txt»;
remote 555.555.555.555 {
exchange_mode main,aggressive;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo address 192.168.8.0/24 any address 192.168.22.0/24 any {
pfs_group 2;
lifetime time 1 hour ;
encryption_algorithm 3des, blowfish 448, rijndael ;
authentication_algorithm hmac_sha1, hmac_md5 ;
compression_algorithm deflate ;
}
Москва
/etc/racoon/psk.txt
555.555.555.555 Password423423
Вашингтон
/etc/racoon/racoon.conf
path pre_shared_key «/etc/racoon/psk.txt»;
remote 222.222.222.222 {
exchange_mode main,aggressive;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo address 192.168.22.0/24 any address 192.168.8.0/24 any {
pfs_group 2;
lifetime time 1 hour ;
encryption_algorithm 3des, blowfish 448, rijndael ;
authentication_algorithm hmac_sha1, hmac_md5 ;
compression_algorithm deflate ;
}
Вашингтон
/etc/racoon/psk.txt
222.222.222.222 Password423423
Security Policies
Москва
/etc/ipsec-tools.conf
flush;
spdflush;
spdadd 192.168.8.0/24 192.168.22.0/24 any -P out ipsec
esp/tunnel/222.222.222.222-555.555.555.555/require;
spdadd 192.168.22.0/24 192.168.8.0/24 any -P in ipsec
esp/tunnel/555.555.555.555-222.222.222.222/require;
Вашингтон
/etc/ipsec-tools.conf
flush;
spdflush;
spdadd 192.168.22.0/24 192.168.8.0/24 any -P out ipsec
esp/tunnel/555.555.555.555-222.222.222.222/require;
spdadd 192.168.8.0/24 192.168.22.0/24 any -P in ipsec
esp/tunnel/222.222.222.222-555.555.555.555/require;
Делаем на обоих хостах
/etc/init.d/setkey restart
/etc/init.d/racoon restart
на сервере в Москве
ip addr add 192.168.8.1/24 dev eth0
ip route add to 192.168.22.0/24 via 192.168.8.1 src 192.168.8.1
на сервере в Вашингтоне
ip addr add 192.168.22.1/24 dev eth0
ip route add to 192.168.8.0/24 via 192.168.22.1 src 192.168.22.1
Пингуем из Москвы
ping 192.168.22.1
Если вместо шлюза (192.168.8.1) используется другой шлюз (например 192.168.8.50), то необходимо прописать дополнительный маршрут:
route add -net 192.168.8.0/24 gw 192.168.8.50
0