strongSwan ipsecセットアップ、いくつかの質問
ホームネットワークとオフィスネットワークの間にIPsecブリッジを設定しようとしています。 StrongSwanを使用してトラフィックをIPsecとして暗号化したい
私は従おうとしています このガイド
ネットワークの簡単な説明:
オフィスネットワークには、安価なD-linkルーターに接続された3台のマシンがあり、そのうち2台はLinuxボックスであり、IPsecネットワークからアクセスできる必要があります。他のマシンはWindowsであり、IPsecトラフィックを認識しないはずです。
ホームネットワークには2台のマシンがあります。1台はLinuxで、IPsecネットワークからアクセスできる必要があります。他のマシンはWindowsであり、IPsecトラフィックを認識しないはずです。
これについてどうすればよいかわかりませんが、今私が非常に懸念している3つの質問があります。
1)最初に一般的な質問。インターネットの外部(この場合はそうです)で秘密の事前共有を手配することが可能で実用的であると仮定すると、キーの手動設定は、IKEまたはIKEv2を設定するよりも一般的に安全ですか?
2)サブネット化について少し読んだことがあり、strongswanのドキュメントの解釈によると、サイト間ネットワークを設定する必要がありますが、right/left/rightsubnet /をどこで探すべきかわかりません。 leftsubnetipおよびipsecを構成するためのマスク。 [〜#〜] edit [〜#〜]より正確に言うと、私はifconfigの出力を見て、決定しようとしています。これを変換してrightsubnet/leftsubnetを構成する方法。どのマシンがゲートウェイを構成していますか?何か案は?この質問が非常に些細な場合は申し訳ありません
3)実際のネットワークにセットアップを展開する前に、virtualboxマシンを使用して自宅でテストIPsecネットワークを作成したいと思います。これは機能しますか?現実的なシナリオを作成するには、いくつの仮想マシンが必要ですか?
お待ち頂きまして、ありがとうございます
(ところで、私はまだ「strongswan」タグを作成するのに十分な評判がありません。誰かがそれを作成した場合、私はそれで投稿を更新して喜んでいます)
- 事前共有キーを設定することは、キーネゴシエーションにIKEプロトコルを使用することを意味します。はい、事前共有キーは安全であると見なされますが、侵害されることはありません。同じことが証明書にも当てはまります。PKIスキームは安全ですが、秘密鍵は危険にさらされません。
- 唯一の単純なルールは、leftsubnetとrightsubnetが重複してはならないということです(たとえば、両方のサブネットに属するIPはありません)。以下のサンプル図またはGoogleで、strongswanWebサイトのサンプルipsec.confファイルを確認してください。
- 「IPsecゲートウェイ」として実行される仮想マシンが少なくとも2台必要です。よりエキゾチックな機能(例:NATトラバーサル))が必要な場合は、NATT(ルーター)を実行する仮想マシンも必要になります。
これは、leftsubnetとは何かとrightsubnetとは何かを説明する図です。
Left_computer(192.168.0.2/24)<--->(192.168.0.1/24)Left_ipsec_gateway(Some_left_public_ip)<--->インターネット<--->(Some_right_public_ip)Right_ipsec_gateway(192.168.1.1/24)<--- >(192.168.1.2/24)Right_computer
ここでの左側のサブネットは192.168.0.0/24で、右側のサブネットは192.168.1.0/24です。
Left_computer(192.168.0.2/24)の場合、Right_subnet(192.168.1.0/24)のゲートウェイとしてLeft_ipsec_gateway(192.168.0.1/24)を指定する必要があります。通常、デフォルトルートはすでにこれを自動的に行います。正しいサブネットについても同じことを行う必要があります。また、これが、StrongSwanを実行しているコンピューターを「IPsecゲートウェイ」と呼ぶ理由です。
お役に立てれば。 Strongswanにはダイアグラム付きのwikiがあります。ご覧になることをお勧めします。