Karena sejumlah alasan, koneksi VPN perlu diatur antara jaringan di VMWare Cloud Director dan mesin Ubuntu terpisah di cloud. Catatan ini tidak berpura-pura menjadi deskripsi lengkap, ini hanyalah petunjuk kecil.
Satu-satunya artikel tentang topik ini dari tahun 2015 ditemukan di Internet β'.
Sayangnya tidak bisa digunakan secara langsung, karena... Saya menginginkan enkripsi yang lebih andal, bukan sertifikat yang ditandatangani sendiri, dan konfigurasi yang dijelaskan tidak akan berfungsi di belakang NAT.
Oleh karena itu, saya harus duduk dan mempelajari dokumentasinya.
Sebagai dasar, saya mengambil konfigurasi yang telah saya gunakan sejak lama, yang memungkinkan saya terhubung dari hampir semua OS, dan cukup menambahkan bagian ke dalamnya yang memungkinkan saya terhubung ke NSX Edge.
Karena menginstal dan mengkonfigurasi server Strongswan sepenuhnya berada di luar cakupan catatan ini, izinkan saya merujuknya .
Jadi, mari kita langsung ke pengaturannya.
Diagram koneksi kami akan terlihat seperti ini:
ΡΠΎ ΡΡΠΎΡΠΎΠ½Ρ VMWare Π²Π½Π΅ΡΠ½ΠΈΠΉ Π°Π΄ΡΠ΅Ρ 33.33.33.33 ΠΈ Π²Π½ΡΡΡΠ΅Π½Π½ΡΡ ΡΠ΅ΡΡ 192.168.1.0/24
ΡΠΎ ΡΡΠΎΡΠΎΠ½Ρ Linux Π²Π½Π΅ΡΠ½ΠΈΠΉ Π°Π΄ΡΠ΅Ρ 22.22.22.22 ΠΈ Π²Π½ΡΡΡΠ΅Π½Π½ΡΡ ΡΠ΅ΡΡ 10.10.10.0/24
ΡΠ°ΠΊΠΆΠ΅ ΠΏΠΎΠ½Π°Π΄ΠΎΠ±ΠΈΡΡΡ Π½Π°ΡΡΡΠΎΠΈΡΡ Let's encrypt ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°Ρ Π΄Π»Ρ Π°Π΄ΡΠ΅ΡΠ° vpn.linux.ext
PSK Ρ ΠΎΠ±Π΅ΠΈΡ
ΡΡΠΎΡΠΎΠ½: ChangeMeNow!Konfigurasi dari NSX Edge:
Teks
Enabled: yes
Enable perfect forward secrecy (PFS): yes
Name: VPN_strongswan (Π»ΡΠ±ΠΎΠ΅, ΠΏΠΎ Π²Π°ΡΠ΅ΠΌΡ Π²ΡΠ±ΠΎΡΡ)
Local Id: 33.33.33.33
Local Endpoint: 33.33.33.33
Local Subnets: 192.168.1.0/24
Peer Id: vpn.linux.ext
Peer Endpoint: 22.22.22.22
Peer Subnets: 10.10.10.0/24
Encryption Algorithm: AES256
Authentication: PSK
Pre-Shared Key: ChangeMeNow!
Diffie-Hellman Group: 14 (2048 bit β ΠΏΡΠΈΠ΅ΠΌΠ»Π΅ΠΌΡΠΉ ΠΊΠΎΠΌΠΏΡΠΎΠΌΠΈΡΡ ΠΌΠ΅ΠΆΠ΄Ρ ΡΠΊΠΎΡΠΎΡΡΡΡ ΠΈ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡΡΡ. ΠΠΎ Π΅ΡΠ»ΠΈ Ρ
ΠΎΡΠΈΡΠ΅, ΠΌΠΎΠΆΠ΅ΡΠ΅ ΠΏΠΎΡΡΠ°Π²ΠΈΡΡ Π±ΠΎΠ»ΡΡΠ΅)
Digest Algorithm: SHA256
IKE Option: IKEv2
IKE Responder Only: no
Session Type: Policy Based Session Layar
Pengaturan dari Strongswan:
ipsec.conf
# /etc/ipsec.conf
config setup
conn %default
dpdaction=clear
dpddelay=35s
dpdtimeout=300s
fragmentation=yes
rekey=no
ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-modp2048,aes128-sha1-modp1024,3des-sha1-modp1024,aes128-aes256-sha1-sha256,aes128-sha1,3des-sha1!
left=%any
leftsubnet=10.10.10.0/24
leftcert=certificate.pem
leftfirewall=yes
leftsendcert=always
right=%any
rightsourceip=192.168.1.0/24
rightdns=77.88.8.8,8.8.4.4
eap_identity=%identity
# IKEv2
conn IPSec-IKEv2
keyexchange=ikev2
auto=add
# BlackBerry, Windows, Android
conn IPSec-IKEv2-EAP
also="IPSec-IKEv2"
rightauth=eap-mschapv2
# macOS, iOS
conn IKEv2-MSCHAPv2-Apple
also="IPSec-IKEv2"
rightauth=eap-mschapv2
leftid=vpn.linux.ext
# Android IPsec Hybrid RSA
conn IKEv1-Xauth
keyexchange=ikev1
rightauth=xauth
auto=add
# VMWare IPSec VPN
conn linux-nsx-psk
authby=secret
auto=start
leftid=vpn.linux.ext
left=10.10.10.10
leftsubnet=10.10.10.0/24
rightid=33.33.33.33
right=33.33.33.33
rightsubnet=192.168.1.0/24
ikelifetime=28800
keyexchange=ikev2
lifebytes=0
lifepackets=0
lifetime=1hipsec.rahasia
# /etc/ipsec.secrets
: RSA privkey.pem
# Create VPN users accounts
# ΠΠΠΠΠΠΠΠ! ΠΠΎΡΠ»Π΅ Π»ΠΎΠ³ΠΈΠ½Π° ΡΠ½Π°ΡΠ°Π»Π° ΠΏΡΠΎΠ±Π΅Π», ΠΏΠΎΡΠΎΠΌ Π΄Π²ΠΎΠ΅ΡΠΎΡΠΈΠ΅.
user1 : EAP "stongPass1"
user2 : EAP "stongPass2"
%any 33.33.33.33 : PSK "ChangeMeNow!"setelah itu, baca kembali konfigurasinya, mulai koneksi dan periksa apakah sudah dibuat:
ipsec update
ipsec rereadsecrets
ipsec up linux-nsx-psk
ipsec status
Saya harap catatan kecil ini bermanfaat dan menghemat beberapa jam bagi seseorang.
Sumber: www.habr.com