VPN на основе IPSec с использованием Openswan - путаница IP [закрыта]

В настоящее время я пытаюсь перенаправить трафик из одного окна Linux (локальная виртуальная машина для тестирования) на мой Linux (Debian) сервер с намерением использовать NAT. Мне сказали использовать IPSec для получения моих данных на указанном сервере и решили, что я буду использовать Openswan для облегчения этого сценария. Я успешно установил необходимые пакеты, но как любитель, я борюсь с пониманием разных IP-адресов, которые должны быть определены в ipsec.conf. Это выдержка из примера, найденного в вики Debian (включая комментарий от меня):

left=10.15.109.36   #Is this the public (internet) IP? 
leftsubnet=192.168.50.0/24   #How do I find this one and whats the "/24"?
leftsourceip=192.168.50.X   #What is it and can it be deduced from the above?
leftnexthop=10.15.109.5   #I think this should be my gateway, right?
[email protected]   #I assume this is something I can define myself?

Я понимаю, что это может быть довольно общий вопрос, но я могу заверить вас, что я много рылся по этому вопросу и не мог найти исчерпывающего объяснения.

2 голоса | спросил mti_ 24 22015vEurope/Moscow11bEurope/MoscowTue, 24 Nov 2015 20:27:46 +0300 2015, 20:27:46

1 ответ


4

Большинство ваших ответов можно найти здесь: http://linux.die.net/man/5/ipsec.conf

Говорить через них, однако:

  • left будет указывать IP-адрес левой , как это видно из right . Как правило, этот общедоступный IP-адрес левой .
  • leftsubnet будет указывать IP-подсеть для подсети left . В конце концов, IPsec SA (защищенный канал данных) будет шифровать все из leftsubnet в rightsubnet . В вашем примере, поскольку кажется, что вы только собираетесь, чтобы ваша одна Linux Box говорила с вашим другим ящиком Linux, вы можете просто использовать эти IP-адреса этих ящиков Linux непосредственно для подсети влево /вправо, используя маску /32.
  • leftsourceip . Это будет адрес, который будет использоваться, когда сам VPN-устройство говорит через туннель. Если упомянутая выше линейка Linux является единственным предназначенным динамиком через VPN, и также является машиной, которая выполняет обработку VPN , тогда это будет IP-адрес вашего Linux-бокса и должен соответствовать leftsubnet выше (но не будет включать маску).
  • leftnexthop Это будет шлюз по умолчанию в поле слева, которое выполняет обработку VPN
  • leftid . Это будет в конечном итоге то, что используется в переговорах как метод ID (я вхожу в подробности подробностей о том, что находится в этом question/answer ). По большей части, неважно, что вы положили - вы можете также поставить что-то, что идентифицирует «left» (имя хоста Linux VM, или «ветвь» или «dev box» или что-то еще). Если VPN-соединение разрешит идентификатор FQDN /hostname ID, он будет использовать это. Если VPN-соединение по умолчанию будет соответствовать его IP-адресу в качестве его метода идентификатора, тогда openswan будет автоматически размещаться.

Вот цитаты из того, как руководство определяет каждый термин:

  • влево

      

    (требуется) IP-адрес интерфейса общедоступной сети левого участника в любой форме, принятой ipsec_ttoaddr (3). В настоящее время поддерживаются IP-адреса IPv4 и IPv6. Существует несколько магических значений. Если это% defaultroute и раздел конфигурации конфигурации, спецификация интерфейсов содержит% defaultroute, слева будет автоматически заполняться локальный адрес интерфейса по умолчанию-маршрут (как определено при запуске IPsec); это также отменяет любое значение, указанное для leftnexthop. (Либо левый, либо правый могут быть% defaultroute, но не оба.) Значение% any означает адрес, который должен быть заполнен (путем автоматической манипуляции) во время переговоров. Значение% оппортунистическое означает, что как левое, так и левое правое поле должно быть заполнено (путем автоматической манипуляции) из данных DNS для левого клиента. Значение может также содержать имя интерфейса, которое затем будет использоваться для получения IP-адреса для заполнения. Например,% ppp0 Значения% group и% optionisticgroup делают эту группу политик связью: одну, которая будет создана в регулярное или условное соединение для каждого блока CIDR, указанного в файле групповой политики с тем же именем, что и conn.

  • leftsubnet

      

    частная подсеть за левым участником, выраженная как сеть /сетевая маска (фактически любая форма, приемлемая для ipsec_ttosubnet (3)); Поддерживаются диапазоны Currentlly, IPv4 и IPv6. если он опущен, по существу предполагается, что он левый /32, означающий, что левый конец соединения переходит только к левому участнику

  • leftsourceip

      

    IP-адрес этого хоста для использования при передаче пакета с другой стороны этой ссылки. Релевантно только локально, другой конец не должен совпадать. Эта опция используется для того, чтобы сам шлюз использовалвнутренний IP, который является частью leftsubnet, для связи с правами или правами. В противном случае он будет использовать свой ближайший IP-адрес, который является его общедоступным IP-адресом. Этот параметр в основном используется при определении подключений подсети-подсети, так что шлюзы могут разговаривать друг с другом и подсеть на другом конце, без необходимости создавать дополнительные хост-подсети, туннели подсеть-хост и хост-хост. Поддерживаются как IPv4, так и IPv6-адреса.

  • leftnexthop

      

    IP-адрес шлюза next-hop для соединения левого участника с общедоступной сетью; defaults to% direct (означает право). Если значение должно быть переопределено методом left =% defaultroute (см. Выше), явное значение не должно указываться. Если этот метод не используется, а leftnexthop -% defaultroute, а в разделе настройки конфигурации используются интерфейсы =% defaultroute, будет использоваться адрес шлюза следующего маршрута интерфейса маршрута по умолчанию. Магическое значение% direct означает значение, которое должно быть заполнено (путем автоматической манипуляции) с адресом партнера. Релевантно только локально, другой конец не должен соглашаться на него.

  • leftid

      

    как левый участник должен быть идентифицирован для аутентификации; по умолчанию - слева. Может быть IP-адресом (в любом синтаксисе ipsec_ttoaddr (3)) или полностью квалифицированным доменным именем, которому предшествует @ (который используется как строка литерала и не разрешен). Магическое значение% fromcert заставляет идентификатор быть настроен на DN, взятый из загруженного сертификата. До 2.5.16 это было по умолчанию, если был указан сертификат. Магическое значение% none не устанавливает идентификатор в ID. Это включено для полноты, поскольку идентификатор может быть установлен в стандартном соединении, и он желает, чтобы он был по умолчанию, а не был явно установлен. Магическое значение% myid означает текущую настройку myid. Это устанавливается в настройке конфигурации или с помощью ipsec_whack (8)), или, если не задано, это IP-адрес в% defaultroute (если это поддерживается TXT-записью в обратном домене), или иначе это имя хоста системы (если это поддерживается TXT-записью в его передовом домене), или иначе оно не определено.

ответил Eddie 24 22015vEurope/Moscow11bEurope/MoscowTue, 24 Nov 2015 20:47:10 +0300 2015, 20:47:10

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132