Conecte várias redes usando o Linux

É possível.

Você precisaria:

• Portas abertas para passar o tráfego da VPN para as caixas do Debian
• Configuração IPSEC em cada máquina
• Ferramentas de espaço do usuário IPSEC instaladas (ipsec-tools (e um kernel com ele suportado, portanto, > 2.5.7))
• Um guia como link
• Muita diversão com arquivos de configuração

Em seguida, no seu roteador / gateway padrão, adicione rotas estáticas para as sub-redes remotas que apontam para as caixas do Debian.

A configuração não é tão ruim , mas se você nunca lidou com VPNs IPSEC antes que possa ser uma confusão confusa (mas então, é Linux, então tudo é;))

No último (e único) servidor em que trabalhei, havia seis arquivos envolvidos, que incluo abaixo, de maneira censurada. Onde eu coloquei local_ip era o endereço ip do servidor local, e onde coloquei remote_ip era o endereço ip do servidor remoto, e esta configuração era para proteger a comunicação entre duas máquinas na mesma rede, para que a configuração não seja adequada para você com NAT e várias máquinas envolvidas.

Você precisará espelhar a configuração em ambos os lados (assim, trocando os bits local_ip e remote_ip em um servidor), e também encontrará onde você precisa colocar IPs públicos para fazê-lo funcionar na Internet.

De qualquer forma, se você quer que funcione, esteja preparado para gastar algumas horas com isso, porque pode levar isso. As VPNs não são realmente clicáveis e arrastadas, a menos que você compre um kit de firewall caro.

/ etc / sysconfig / scripts de rede / ifcfg-ipsec0

DST=remote_ip
TYPE=IPSEC
ONBOOT=yes
IKE_METHOD=PSK

/ etc / sysconfig / scripts de rede / chaves-ipsec0

IKE_PSK="passphrase"

/ etc / racoon / psk

remote_ip  passphrase

/etc/racoon/racoon.conf

path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk";
path certificate "/etc/racoon/certs";

# log debug2;

listen
{
    isakmp local_ip;
}

include "/etc/racoon/remote_ip.conf";

/etc/racoon/setkey.conf

#!/sbin/setkey -f
flush;
spdflush;

#Add the policy
#This policy applies to inbound traffic from remote
spdadd remote_ip/32 local_ip/32 any -P in ipsec esp/transport//require;
spdadd remote_ip/32 local_ip/32 any -P in ipsec ah/transport//require;

#This policy applies to outbound traffic to remote
spdadd local_ip/32 remote_ip/32 any -P out ipsec esp/transport//require;
spdadd local_ip/32 remote_ip/32 any -P out ipsec ah/transport//require;

/etc/racoon/remote_ip.conf

remote remote_ip
{
    exchange_mode main;
    my_identifier address local_ip;
    proposal {
        encryption_algorithm 3des;
        hash_algorithm sha1;
        authentication_method pre_shared_key;
        dh_group 2;
        lifetime time 8 hours;    
    }
}

sainfo address local_ip any address remote_ip any
{
    authentication_algorithm hmac_sha1;
    encryption_algorithm 3des;
    compression_algorithm deflate;
}

sainfo address remote_ip any address local_ip any
{
    authentication_algorithm hmac_sha1;
    encryption_algorithm 3des;
    compression_algorithm deflate;
}

Parece que você deseja uma VPN de site para site, de cada cliente para você. Você pode ou não querer os dois clientes conectados um ao outro.

Isso não é "ponte", mas acho que entendo o que você está recebendo. Leia a documentação dos dispositivos de borda em cada um dos três sites e descubra como fazer uma VPN de seus sites para o seu.

Isso é totalmente independente dos servidores dentro de cada rede. Quando os gateways ou outros dispositivos de borda tiverem criado os túneis VPN, você poderá fazer o que precisa fazer.