strongSwan ipsec setup, algumas perguntas

2

Estou tentando configurar uma ponte IPsec entre minha rede doméstica e a rede do meu escritório. Eu quero usar StrongSwan para criptografar o tráfego como IPsec

Estou tentando seguir este guia

Uma breve descrição das redes:

  • a rede do escritório tem 3 máquinas conectadas a um roteador D-link barato, 2 delas são caixas linux e devem poder ser acessadas pela rede IPsec. A outra máquina é o Windows e não deve ver nenhum tráfego IPsec

  • a rede doméstica tem 2 máquinas, uma é linux, que deve poder acessar e ser acessada pela rede IPsec. A outra máquina é o Windows e não deve ver nenhum tráfego IPsec

Eu não tenho certeza de como fazer isso, mas tenho 3 perguntas que são de grande preocupação agora para mim:

1) primeiro uma pergunta geral; assumindo que é possível e prático organizar o pré-compartilhamento de segredos fora da Internet (que neste caso é) a configuração manual das teclas seria, em geral, mais segura do que configurar o IKE ou o IKEv2?

2) Eu li um pouco sobre sub-redes, e de acordo com a minha interpretação da documentação do strongswan, eu deveria definir uma rede site-a-site, mas não tenho certeza onde devo procurar a direita / esquerda / rightsubnet / leftsubnet ip e máscaras para configurar o ipsec. EDIT Para ser mais preciso, estou olhando para a saída ifconfig e tentando decidir como traduzir isso para configurar o rightsubnet / leftsubnet. Quais máquinas constituem os gateways? Alguma ideia? desculpe se essa pergunta é extremamente trivial

3) Eu quero fazer uma rede IPsec de teste em casa usando máquinas de virtualbox antes de implantar qualquer configuração nas redes reais. Isso funcionaria? quantas máquinas virtuais eu precisaria para criar um cenário realista?

obrigado pela sua paciência

(btw, eu ainda não tenho reputação suficiente para criar a tag "strongswan". Se alguém criar, terei prazer em atualizar a postagem com ela)

    
por lurscher 10.04.2011 / 18:03

1 resposta

3
  1. A configuração de chaves pré-compartilhadas ainda implica que você usará o protocolo IKE para negociação de chave. E sim, as chaves pré-compartilhadas são consideradas seguras, enquanto não são comprometidas. O mesmo se aplica aos certificados - o esquema PKI é seguro, enquanto as chaves privadas não são comprometidas.
  2. A única regra simples é que leftsubnet e rightsubnet não devem se sobrepor (por exemplo, não há IPs que pertençam a ambas as sub-redes). Dê uma olhada no diagrama de amostra abaixo ou no Google para obter o arquivo ipsec.conf de amostra no site strongswan.
  3. Você precisará de pelo menos 2 máquinas virtuais que serão executadas como "Gateways IPsec". Se você quiser mais recursos exóticos (por exemplo, NAT traversal), você também precisará de uma máquina virtual que fará o NATTing (roteador).

Aqui está o diagrama que explica o que é o leftsubnet e o que é o rightsubnet:

Left_computer(192.168.0.2/24)<---> (192.168.0.1/24)Left_ipsec_gateway(Some_left_public_ip)<--->INTERNET<---> (Some_right_public_ip)Right_ipsec_gateway (192.168.1.1/24)<--->(192.168.1.2/24)Right_computer

Left subnet here is 192.168.0.0/24 and right subnet is 192.168.1.0/24.

Para o Left_computer (192.168.0.2/24) você deve especificar Left_ipsec_gateway (192.168.0.1/24) como gateway para Right_subnet (192.168.1.0/24). Normalmente, a rota padrão já faz isso automaticamente para você. Você deve fazer o mesmo para a sub-rede correta também. Além disso, esta é a razão pela qual eu chamo o computador que está executando o StrongSwan como "Gateway IPsec".

Espero que isso ajude. Strongswan tem wiki com diagramas, você pode querer olhar.

    
por 10.04.2011 / 18:23