Af ýmsum ástæðum var nauðsynlegt að skipuleggja VPN-tengingu milli netsins í VMWare Cloud Director og sérstakrar Ubuntu vél í skýinu. Skýringin þykist ekki vera full lýsing, hún er bara smá leiðbeiningar.
Eina greinin um þetta efni frá 2015 fannst á netinu “
Því miður var ekki hægt að nota það beint, því... Ég vildi áreiðanlegri dulkóðun, ekki sjálfstætt undirritað vottorð, og uppsetningin sem lýst er hefði ekki virkað á bak við NAT.
Þess vegna varð ég að setjast niður og kafa ofan í skjölin.
Sem grunnur tók ég stillingu sem ég var búinn að nota lengi, sem gerir mér kleift að tengjast frá nánast hvaða stýrikerfi sem er, og bætti einfaldlega stykki við hana sem gerir mér kleift að tengjast NSX Edge.
Þar sem uppsetning og fullstilling Strongswan þjónsins er utan gildissviðs þessarar athugasemdar, leyfðu mér að vísa til
Svo, við skulum fara beint í stillingarnar.
Tengimynd okkar mun líta svona út:
со стороны VMWare внешний адрес 33.33.33.33 и внутренняя сеть 192.168.1.0/24
со стороны Linux внешний адрес 22.22.22.22 и внутренняя сеть 10.10.10.0/24
также понадобится настроить Let's encrypt сертификат для адреса vpn.linux.ext
PSK с обеих сторон: ChangeMeNow!
Stillingar frá NSX Edge:
Texti
Enabled: yes
Enable perfect forward secrecy (PFS): yes
Name: VPN_strongswan (любое, по вашему выбору)
Local Id: 33.33.33.33
Local Endpoint: 33.33.33.33
Local Subnets: 192.168.1.0/24
Peer Id: vpn.linux.ext
Peer Endpoint: 22.22.22.22
Peer Subnets: 10.10.10.0/24
Encryption Algorithm: AES256
Authentication: PSK
Pre-Shared Key: ChangeMeNow!
Diffie-Hellman Group: 14 (2048 bit — приемлемый компромисс между скоростью и безопасностью. Но если хотите, можете поставить больше)
Digest Algorithm: SHA256
IKE Option: IKEv2
IKE Responder Only: no
Session Type: Policy Based Session
Skjámyndir
Uppsetning frá Strongswan:
ipsec.conf
# /etc/ipsec.conf
config setup
conn %default
dpdaction=clear
dpddelay=35s
dpdtimeout=300s
fragmentation=yes
rekey=no
ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-modp2048,aes128-sha1-modp1024,3des-sha1-modp1024,aes128-aes256-sha1-sha256,aes128-sha1,3des-sha1!
left=%any
leftsubnet=10.10.10.0/24
leftcert=certificate.pem
leftfirewall=yes
leftsendcert=always
right=%any
rightsourceip=192.168.1.0/24
rightdns=77.88.8.8,8.8.4.4
eap_identity=%identity
# IKEv2
conn IPSec-IKEv2
keyexchange=ikev2
auto=add
# BlackBerry, Windows, Android
conn IPSec-IKEv2-EAP
also="IPSec-IKEv2"
rightauth=eap-mschapv2
# macOS, iOS
conn IKEv2-MSCHAPv2-Apple
also="IPSec-IKEv2"
rightauth=eap-mschapv2
leftid=vpn.linux.ext
# Android IPsec Hybrid RSA
conn IKEv1-Xauth
keyexchange=ikev1
rightauth=xauth
auto=add
# VMWare IPSec VPN
conn linux-nsx-psk
authby=secret
auto=start
leftid=vpn.linux.ext
left=10.10.10.10
leftsubnet=10.10.10.0/24
rightid=33.33.33.33
right=33.33.33.33
rightsubnet=192.168.1.0/24
ikelifetime=28800
keyexchange=ikev2
lifebytes=0
lifepackets=0
lifetime=1h
ipsec.leyndarmál
# /etc/ipsec.secrets
: RSA privkey.pem
# Create VPN users accounts
# ВНИМАНИЕ! После логина сначала пробел, потом двоеточие.
user1 : EAP "stongPass1"
user2 : EAP "stongPass2"
%any 33.33.33.33 : PSK "ChangeMeNow!"
eftir það skaltu bara lesa stillingarnar aftur, hefja tenginguna og athuga hvort hún sé komin á:
ipsec update
ipsec rereadsecrets
ipsec up linux-nsx-psk
ipsec status
Ég vona að þessi litla athugasemd sé gagnleg og sparar einhverjum nokkrar klukkustundir.
Heimild: www.habr.com