strongSwan ipsec 設置，幾個問題

我正在嘗試在我的家庭網路和我的辦公室網路之間建立一個 IPsec 網橋。我想使用 StrongSwan 將流量加密為 IPsec

我正在嘗試遵循本指南

網路的簡要說明：

• 辦公網路有 3 台機器連接到便宜的 D-link 路由器，其中 2 台是 linux 盒子，應該可以從 IPsec 網路訪問。另一台機器是 Windows，應該看不到任何 IPsec 流量
• 家庭網路有2台機器，一台是linux的，應該可以從IPsec網路訪問和訪問。另一台機器是 windows，應該看不到任何 IPsec 流量

我不知道該怎麼做，但我現在有 3 個問題是我高度關注的：

1. 首先是一個一般性問題；假設在 Internet 之外（在這種情況下是這樣）安排對機密的預共享是可能和切實可行的，那麼手動設置密鑰通常比設置 IKE 或 IKEv2 更安全嗎？

2）我讀過一些關於子網的內容，根據我對strongswan文件的解釋，我應該設置一個站點到站點的網路，但我不確定我應該在哪裡尋找右/左/右子網/ leftsubnet ip 和遮罩來配置 ipsec。編輯更準確地說，我正在查看ifconfig輸出並嘗試決定如何將其轉換為配置 rightsubnet/leftsubnet。什麼機器構成網關？有任何想法嗎？抱歉，如果這個問題非常瑣碎

3. 在實際網路中部署任何設置之前，我想在家裡使用 virtualbox 機器製作一個測試 IPsec 網路。這行得通嗎？我需要多少虛擬機才能製作一個真實的場景？

謝謝你的耐心

（順便說一句，我仍然沒有足夠的聲譽來創建“strongswan”標籤。如果有人創建它，我會很高興用它來更新文章）

1. 設置預共享密鑰仍然意味著您將使用 IKE 協議進行密鑰協商。是的，預共享密鑰被認為是安全的，但不會受到損害。同樣適用於證書 - PKI 方案是安全的，而私鑰不會受到損害。
2. 唯一簡單的規則是leftsubnet 和rightsubnet 不應重疊（例如，沒有IP 屬於兩個子網）。查看下面的範例圖或 Google 以獲取 strongswan 網站上的範例 ipsec.conf 文件。
3. 您將需要至少 2 個將作為“IPsec 網關”執行的虛擬機。如果您想要更多奇特的功能（例如 NAT 遍歷），那麼您還需要一個可以進行 NATTing（路由器）的虛擬機。

這是解釋什麼是左子網和什麼是右子網的圖表：

Left_computer(192.168.0.2/24)<—> (192.168.0.1/24)Left_ipsec_gateway(Some_left_public_ip)<—>INTERNET<—> (Some_right_public_ip)Right_ipsec_gateway (192.168.1.1/24)<— >(192.168.1.2/24)Right_computer

這裡的左子網是 192.168.0.0/24，右子網是 192.168.1.0/24。

對於 Left_computer(192.168.0.2/24)，您必須指定 Left_ipsec_gateway(192.168.0.1/24) 作為 Right_subnet(192.168.1.0/24) 的網關。通常預設路由已經為您自動執行此操作。您也必須為正確的子網做同樣的事情。這也是我將執行 StrongSwan 的電腦稱為“IPsec 網關”的原因。

希望這可以幫助。Strongswan 有 wiki with Diagrams，你可能想看看。

引用自：https://serverfault.com/questions/257970