Atas beberapa sebab, adalah perlu untuk mengatur sambungan VPN antara rangkaian dalam Pengarah Awan VMWare dan mesin Ubuntu yang berasingan dalam awan. Nota itu tidak berpura-pura sebagai huraian penuh, ia hanyalah cara kecil.
Satu-satunya artikel mengenai topik ini dari 2015 ditemui di Internet "
Malangnya, ia tidak boleh digunakan secara langsung, kerana... Saya mahukan penyulitan yang lebih dipercayai, bukan sijil yang ditandatangani sendiri, dan konfigurasi yang diterangkan tidak akan berfungsi di belakang NAT.
Oleh itu, saya terpaksa duduk dan mendalami dokumentasi.
Sebagai asas, saya mengambil konfigurasi yang telah saya gunakan untuk masa yang lama, yang membolehkan saya menyambung dari hampir mana-mana OS, dan hanya menambah sekeping padanya yang membolehkan saya menyambung ke NSX Edge.
Memandangkan memasang dan mengkonfigurasi sepenuhnya pelayan Strongswan adalah di luar skop nota ini, izinkan saya merujuk kepada
Jadi, mari kita beralih terus ke tetapan.
Gambar rajah sambungan kami akan kelihatan seperti ini:
ΡΠΎ ΡΡΠΎΡΠΎΠ½Ρ VMWare Π²Π½Π΅ΡΠ½ΠΈΠΉ Π°Π΄ΡΠ΅Ρ 33.33.33.33 ΠΈ Π²Π½ΡΡΡΠ΅Π½Π½ΡΡ ΡΠ΅ΡΡ 192.168.1.0/24
ΡΠΎ ΡΡΠΎΡΠΎΠ½Ρ Linux Π²Π½Π΅ΡΠ½ΠΈΠΉ Π°Π΄ΡΠ΅Ρ 22.22.22.22 ΠΈ Π²Π½ΡΡΡΠ΅Π½Π½ΡΡ ΡΠ΅ΡΡ 10.10.10.0/24
ΡΠ°ΠΊΠΆΠ΅ ΠΏΠΎΠ½Π°Π΄ΠΎΠ±ΠΈΡΡΡ Π½Π°ΡΡΡΠΎΠΈΡΡ Let's encrypt ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°Ρ Π΄Π»Ρ Π°Π΄ΡΠ΅ΡΠ° vpn.linux.ext
PSK Ρ ΠΎΠ±Π΅ΠΈΡ
ΡΡΠΎΡΠΎΠ½: ChangeMeNow!
Konfigurasi daripada NSX Edge:
teks
Enabled: yes
Enable perfect forward secrecy (PFS): yes
Name: VPN_strongswan (Π»ΡΠ±ΠΎΠ΅, ΠΏΠΎ Π²Π°ΡΠ΅ΠΌΡ Π²ΡΠ±ΠΎΡΡ)
Local Id: 33.33.33.33
Local Endpoint: 33.33.33.33
Local Subnets: 192.168.1.0/24
Peer Id: vpn.linux.ext
Peer Endpoint: 22.22.22.22
Peer Subnets: 10.10.10.0/24
Encryption Algorithm: AES256
Authentication: PSK
Pre-Shared Key: ChangeMeNow!
Diffie-Hellman Group: 14 (2048 bit β ΠΏΡΠΈΠ΅ΠΌΠ»Π΅ΠΌΡΠΉ ΠΊΠΎΠΌΠΏΡΠΎΠΌΠΈΡΡ ΠΌΠ΅ΠΆΠ΄Ρ ΡΠΊΠΎΡΠΎΡΡΡΡ ΠΈ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡΡΡ. ΠΠΎ Π΅ΡΠ»ΠΈ Ρ
ΠΎΡΠΈΡΠ΅, ΠΌΠΎΠΆΠ΅ΡΠ΅ ΠΏΠΎΡΡΠ°Π²ΠΈΡΡ Π±ΠΎΠ»ΡΡΠ΅)
Digest Algorithm: SHA256
IKE Option: IKEv2
IKE Responder Only: no
Session Type: Policy Based Session
Screenshot
Persediaan daripada Strongswan:
ipsec.conf
# /etc/ipsec.conf
config setup
conn %default
dpdaction=clear
dpddelay=35s
dpdtimeout=300s
fragmentation=yes
rekey=no
ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!
esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-modp2048,aes128-sha1-modp1024,3des-sha1-modp1024,aes128-aes256-sha1-sha256,aes128-sha1,3des-sha1!
left=%any
leftsubnet=10.10.10.0/24
leftcert=certificate.pem
leftfirewall=yes
leftsendcert=always
right=%any
rightsourceip=192.168.1.0/24
rightdns=77.88.8.8,8.8.4.4
eap_identity=%identity
# IKEv2
conn IPSec-IKEv2
keyexchange=ikev2
auto=add
# BlackBerry, Windows, Android
conn IPSec-IKEv2-EAP
also="IPSec-IKEv2"
rightauth=eap-mschapv2
# macOS, iOS
conn IKEv2-MSCHAPv2-Apple
also="IPSec-IKEv2"
rightauth=eap-mschapv2
leftid=vpn.linux.ext
# Android IPsec Hybrid RSA
conn IKEv1-Xauth
keyexchange=ikev1
rightauth=xauth
auto=add
# VMWare IPSec VPN
conn linux-nsx-psk
authby=secret
auto=start
leftid=vpn.linux.ext
left=10.10.10.10
leftsubnet=10.10.10.0/24
rightid=33.33.33.33
right=33.33.33.33
rightsubnet=192.168.1.0/24
ikelifetime=28800
keyexchange=ikev2
lifebytes=0
lifepackets=0
lifetime=1h
ipsec.rahsia
# /etc/ipsec.secrets
: RSA privkey.pem
# Create VPN users accounts
# ΠΠΠΠΠΠΠΠ! ΠΠΎΡΠ»Π΅ Π»ΠΎΠ³ΠΈΠ½Π° ΡΠ½Π°ΡΠ°Π»Π° ΠΏΡΠΎΠ±Π΅Π», ΠΏΠΎΡΠΎΠΌ Π΄Π²ΠΎΠ΅ΡΠΎΡΠΈΠ΅.
user1 : EAP "stongPass1"
user2 : EAP "stongPass2"
%any 33.33.33.33 : PSK "ChangeMeNow!"
selepas itu, baca semula konfigurasi, mulakan sambungan dan semak bahawa ia telah ditubuhkan:
ipsec update
ipsec rereadsecrets
ipsec up linux-nsx-psk
ipsec status
Saya harap nota kecil ini berguna dan menjimatkan seseorang beberapa jam.
Sumber: www.habr.com