Tunel Host-to-Host Criptografado no Ubuntu / Debian?

3

Gostaria de conectar dois sites remotos por meio de um túnel ponto a ponto seguro. Eu tenho usado o OpenVPN, mas é um pouco flakey e realmente parece ser mais para conectar muitos usuários ao invés de um link ponto a ponto.

O Redhat parece ter alguns scripts construídos em nice para construir túneis ponto a ponto IPSEC, mas eu não encontrei nada similar no Ubuntu.

Qualquer orientação sobre o que usar aqui e como fazer isso? Eu gostaria de mantê-lo o mais simples possível, mas ainda tenho segurança básica do PSK.

    
por Joel K 20.01.2010 / 03:19

8 respostas

3

Assumindo as seguintes configurações de rede:

Seu IP público: 192.168.1.1
Sua rede privada: 192.168.50.0/24
IP público remoto: 192.168.2.1
Rede privada remota: 192.168.51.0/24

1) Instale o StrongSwan usando o "sudo apt-get install strongswan"

2) Configure uma chave secreta usando "sudo vim /etc/ipsec.secrets":
192.168.1.1 192.168.2.1: PSK "secret_password"

3) Configure as rotas usando "sudo vim /etc/ipsec.conf":
parceiro conn     esquerda = 192.168.1.1
    direito = 192.168.2.1
    authby = secreto
    ike = 3des-sha1-modp1024
    esp = 3des-sha1
    pfs = sim
    auto = start

conn local_to_partner
    leftsubnet = 192.168.1.1 / 32
    rightsubnet = 192.168.51.0 / 24
    também = parceiro

conn partner_to_local
    leftsubnet = 192.168.50.0 / 24
    rightsubnet = 192.168.2.1 / 32
    também = parceiro

    
por 25.02.2010 / 02:29
3
O

ssh 4.3+ é capaz de criar túneis VPN apropriados. tun0 e tudo mais.

    
por 28.01.2010 / 11:16
1

Você pode usar o openVPN para obter uma configuração de site para site. Você precisaria configurar cada uma das máquinas Linux como roteadores e criar rotas estáticas em suas redes internas para apontar para as máquinas linux. Aqui está o design básico:

Cada rede local precisa ter sua própria sub-rede IP:
LAN1: 192.168.1.0/24
LAN2: 192.168.2.0/24

Digamos que os IPs sejam assim:
PC1 192.168.1.10
GW1 192.168.1.1
Linux1 192.168.1.100
--- conectado w / VPN a outra rede com endereço 192.168.2.101

PC2 192.168.2.10
GW2 192.168.2.1
linux2 192.168.2.100

se você criar rotas estáticas em cada um de seus roteadores para apontar para a outra LAN, você deve conseguir o que está procurando:
Rota no GW1:
Destino 192.168.2.0/24
Gateway: 192.168.1.100

Rota no GW2:
Destino 192.168.1.0/24
Gateway: 192.168.2.100

Então, quando PC1 pings PC2 o pacote será roteado para o gateway padrão de 192.168.1.1, que irá encaminhá-lo para a máquina linux (1.100), que irá enviá-lo através do túnel para LAN2.

    
por 20.01.2010 / 06:32
0

Você pode usar o recurso Tunnel do SSH para isso. Se você já tiver configurado o SSH (muito provavelmente), isso será muito mais fácil do que as alternativas para apenas conectar dois hosts.

    
por 20.01.2010 / 06:26
0

Eu também sugiro usar o recurso de túneis SSH. É fácil de configurar e desde que você aludiu a executar o Ubuntu, há ainda um Gerenciador de Túnel SSH .

    
por 20.01.2010 / 06:38
0

Por que você não pode usar o que funciona para o Redhat em outro sistema Linux? Não é como se fossem diferentes SOs no coração.

Deixe-me expandir isso.

Eu usei o IPSEC para tunelar todo o tráfego entre dois sites antes, e não foi difícil configurar mesmo sem ferramentas para fazer isso. Se existem scripts que funcionam no redhat, você não pode simplesmente roubá-los e executá-los em outras variantes do Linux? Certamente não são assim tão diferentes.

    
por 20.01.2010 / 03:52
0

Eu comecei muito mais usando os pacotes openswan e strongswan. Eu ainda não tenho o túnel, mas estas parecem ser as ferramentas que eu quero usar. Ambos são muito mal documentados, e parece haver um grande número de opções sem razões claras para usar uma sobre a outra.

Então, reformular. alguém setup openswan / strongswan com sucesso no Ubuntu usando debs do ubuntu? Qualquer conselho com relação a "IKE vs IKE2", "Método de criptografia", "Configuração de PSK", alteração de porta dinâmica, etc.

Obrigado ..

    
por 26.01.2010 / 18:31
0

O OpenVPN é, na verdade, um dos métodos mais comuns, mais bem compreendidos e documentados para vincular hosts de servidores, como este.

    
por 28.01.2010 / 11:35