strongSwan ipsec 設置,幾個問題
我正在嘗試在我的家庭網路和我的辦公室網路之間建立一個 IPsec 網橋。我想使用 StrongSwan 將流量加密為 IPsec
我正在嘗試遵循本指南
網路的簡要說明:
- 辦公網路有 3 台機器連接到便宜的 D-link 路由器,其中 2 台是 linux 盒子,應該可以從 IPsec 網路訪問。另一台機器是 Windows,應該看不到任何 IPsec 流量
- 家庭網路有2台機器,一台是linux的,應該可以從IPsec網路訪問和訪問。另一台機器是 windows,應該看不到任何 IPsec 流量
我不知道該怎麼做,但我現在有 3 個問題是我高度關注的:
- 首先是一個一般性問題;假設在 Internet 之外(在這種情況下是這樣)安排對機密的預共享是可能和切實可行的,那麼手動設置密鑰通常比設置 IKE 或 IKEv2 更安全嗎?
2)我讀過一些關於子網的內容,根據我對strongswan文件的解釋,我應該設置一個站點到站點的網路,但我不確定我應該在哪裡尋找右/左/右子網/ leftsubnet ip 和遮罩來配置 ipsec。編輯更準確地說,我正在查看
ifconfig
輸出並嘗試決定如何將其轉換為配置 rightsubnet/leftsubnet。什麼機器構成網關?有任何想法嗎?抱歉,如果這個問題非常瑣碎
- 在實際網路中部署任何設置之前,我想在家裡使用 virtualbox 機器製作一個測試 IPsec 網路。這行得通嗎?我需要多少虛擬機才能製作一個真實的場景?
謝謝你的耐心
(順便說一句,我仍然沒有足夠的聲譽來創建“strongswan”標籤。如果有人創建它,我會很高興用它來更新文章)
- 設置預共享密鑰仍然意味著您將使用 IKE 協議進行密鑰協商。是的,預共享密鑰被認為是安全的,但不會受到損害。同樣適用於證書 - PKI 方案是安全的,而私鑰不會受到損害。
- 唯一簡單的規則是leftsubnet 和rightsubnet 不應重疊(例如,沒有IP 屬於兩個子網)。查看下面的範例圖或 Google 以獲取 strongswan 網站上的範例 ipsec.conf 文件。
- 您將需要至少 2 個將作為“IPsec 網關”執行的虛擬機。如果您想要更多奇特的功能(例如 NAT 遍歷),那麼您還需要一個可以進行 NATTing(路由器)的虛擬機。
這是解釋什麼是左子網和什麼是右子網的圖表:
Left_computer(192.168.0.2/24)<—> (192.168.0.1/24)Left_ipsec_gateway(Some_left_public_ip)<—>INTERNET<—> (Some_right_public_ip)Right_ipsec_gateway (192.168.1.1/24)<— >(192.168.1.2/24)Right_computer
這裡的左子網是 192.168.0.0/24,右子網是 192.168.1.0/24。
對於 Left_computer(192.168.0.2/24),您必須指定 Left_ipsec_gateway(192.168.0.1/24) 作為 Right_subnet(192.168.1.0/24) 的網關。通常預設路由已經為您自動執行此操作。您也必須為正確的子網做同樣的事情。這也是我將執行 StrongSwan 的電腦稱為“IPsec 網關”的原因。
希望這可以幫助。Strongswan 有 wiki with Diagrams,你可能想看看。