Conecte várias redes usando o Linux

1

Eu tenho um servidor Debian no meu escritório em casa. Eu tenho dois clientes que gostaria de conectar minha rede à deles pela Internet. Eu também tenho dois servidores Debian semelhantes em cada um dos seus locais. Todas as nossas redes estão usando blocos de rede separados. O meu em casa é 172.16.120.xe os outros dois são 192.168.0.xe 192.168.1.x. Eu gostaria de conectar todas essas três redes usando meus servidores linux. Isso é possível? Em caso afirmativo, qual programa / protocolo eu usaria? Eu tenho webmin em todos esses três servidores também se houver um programa interno que seria tornar as coisas muito mais fáceis.

Btw, nenhuma dessas redes tem a caixa Debian atuando como o servidor DHCP. Todos eles estão usando roteadores de hardware externos.

Só para adicionar, todos os meus servidores estão atrás do roteador / firewall e não têm endereços IP externos.

    
por muncherelli 22.10.2010 / 22:41

2 respostas

1

É possível.

Você precisaria:

  • Portas abertas para passar o tráfego da VPN para as caixas do Debian
  • Configuração IPSEC em cada máquina
  • Ferramentas de espaço do usuário IPSEC instaladas (ipsec-tools (e um kernel com ele suportado, portanto, > 2.5.7))
  • Um guia como link
  • Muita diversão com arquivos de configuração

Em seguida, no seu roteador / gateway padrão, adicione rotas estáticas para as sub-redes remotas que apontam para as caixas do Debian.

A configuração não é tão ruim , mas se você nunca lidou com VPNs IPSEC antes que possa ser uma confusão confusa (mas então, é Linux, então tudo é;))

No último (e único) servidor em que trabalhei, havia seis arquivos envolvidos, que incluo abaixo, de maneira censurada. Onde eu coloquei local_ip era o endereço ip do servidor local, e onde coloquei remote_ip era o endereço ip do servidor remoto, e esta configuração era para proteger a comunicação entre duas máquinas na mesma rede, para que a configuração não seja adequada para você com NAT e várias máquinas envolvidas.

Você precisará espelhar a configuração em ambos os lados (assim, trocando os bits local_ip e remote_ip em um servidor), e também encontrará onde você precisa colocar IPs públicos para fazê-lo funcionar na Internet.

De qualquer forma, se você quer que funcione, esteja preparado para gastar algumas horas com isso, porque pode levar isso. As VPNs não são realmente clicáveis e arrastadas, a menos que você compre um kit de firewall caro.

/ etc / sysconfig / scripts de rede / ifcfg-ipsec0

DST=remote_ip
TYPE=IPSEC
ONBOOT=yes
IKE_METHOD=PSK

/ etc / sysconfig / scripts de rede / chaves-ipsec0

IKE_PSK="passphrase"

/ etc / racoon / psk

remote_ip  passphrase

/etc/racoon/racoon.conf

path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk";
path certificate "/etc/racoon/certs";

# log debug2;

listen
{
    isakmp local_ip;
}

include "/etc/racoon/remote_ip.conf";

/etc/racoon/setkey.conf

#!/sbin/setkey -f
flush;
spdflush;

#Add the policy
#This policy applies to inbound traffic from remote
spdadd remote_ip/32 local_ip/32 any -P in ipsec esp/transport//require;
spdadd remote_ip/32 local_ip/32 any -P in ipsec ah/transport//require;

#This policy applies to outbound traffic to remote
spdadd local_ip/32 remote_ip/32 any -P out ipsec esp/transport//require;
spdadd local_ip/32 remote_ip/32 any -P out ipsec ah/transport//require;

/etc/racoon/remote_ip.conf

remote remote_ip
{
    exchange_mode main;
    my_identifier address local_ip;
    proposal {
        encryption_algorithm 3des;
        hash_algorithm sha1;
        authentication_method pre_shared_key;
        dh_group 2;
        lifetime time 8 hours;    
    }
}

sainfo address local_ip any address remote_ip any
{
    authentication_algorithm hmac_sha1;
    encryption_algorithm 3des;
    compression_algorithm deflate;
}

sainfo address remote_ip any address local_ip any
{
    authentication_algorithm hmac_sha1;
    encryption_algorithm 3des;
    compression_algorithm deflate;
}
    
por 23.10.2010 / 00:43
1

Parece que você deseja uma VPN de site para site, de cada cliente para você. Você pode ou não querer os dois clientes conectados um ao outro.

Isso não é "ponte", mas acho que entendo o que você está recebendo. Leia a documentação dos dispositivos de borda em cada um dos três sites e descubra como fazer uma VPN de seus sites para o seu.

Isso é totalmente independente dos servidores dentro de cada rede. Quando os gateways ou outros dispositivos de borda tiverem criado os túneis VPN, você poderá fazer o que precisa fazer.

    
por 22.10.2010 / 22:54