É possível.
Você precisaria:
- Portas abertas para passar o tráfego da VPN para as caixas do Debian
- Configuração IPSEC em cada máquina
- Ferramentas de espaço do usuário IPSEC instaladas (ipsec-tools (e um kernel com ele suportado, portanto, > 2.5.7))
- Um guia como link
- Muita diversão com arquivos de configuração
Em seguida, no seu roteador / gateway padrão, adicione rotas estáticas para as sub-redes remotas que apontam para as caixas do Debian.
A configuração não é tão ruim , mas se você nunca lidou com VPNs IPSEC antes que possa ser uma confusão confusa (mas então, é Linux, então tudo é;))
No último (e único) servidor em que trabalhei, havia seis arquivos envolvidos, que incluo abaixo, de maneira censurada. Onde eu coloquei local_ip era o endereço ip do servidor local, e onde coloquei remote_ip era o endereço ip do servidor remoto, e esta configuração era para proteger a comunicação entre duas máquinas na mesma rede, para que a configuração não seja adequada para você com NAT e várias máquinas envolvidas.
Você precisará espelhar a configuração em ambos os lados (assim, trocando os bits local_ip e remote_ip em um servidor), e também encontrará onde você precisa colocar IPs públicos para fazê-lo funcionar na Internet.
De qualquer forma, se você quer que funcione, esteja preparado para gastar algumas horas com isso, porque pode levar isso. As VPNs não são realmente clicáveis e arrastadas, a menos que você compre um kit de firewall caro.
/ etc / sysconfig / scripts de rede / ifcfg-ipsec0
DST=remote_ip
TYPE=IPSEC
ONBOOT=yes
IKE_METHOD=PSK
/ etc / sysconfig / scripts de rede / chaves-ipsec0
IKE_PSK="passphrase"
/ etc / racoon / psk
remote_ip passphrase
/etc/racoon/racoon.conf
path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk";
path certificate "/etc/racoon/certs";
# log debug2;
listen
{
isakmp local_ip;
}
include "/etc/racoon/remote_ip.conf";
/etc/racoon/setkey.conf
#!/sbin/setkey -f
flush;
spdflush;
#Add the policy
#This policy applies to inbound traffic from remote
spdadd remote_ip/32 local_ip/32 any -P in ipsec esp/transport//require;
spdadd remote_ip/32 local_ip/32 any -P in ipsec ah/transport//require;
#This policy applies to outbound traffic to remote
spdadd local_ip/32 remote_ip/32 any -P out ipsec esp/transport//require;
spdadd local_ip/32 remote_ip/32 any -P out ipsec ah/transport//require;
/etc/racoon/remote_ip.conf
remote remote_ip
{
exchange_mode main;
my_identifier address local_ip;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
lifetime time 8 hours;
}
}
sainfo address local_ip any address remote_ip any
{
authentication_algorithm hmac_sha1;
encryption_algorithm 3des;
compression_algorithm deflate;
}
sainfo address remote_ip any address local_ip any
{
authentication_algorithm hmac_sha1;
encryption_algorithm 3des;
compression_algorithm deflate;
}