Estamos testando um servidor VPN para DR. Temos uma instância de nuvem rackspace, com um servidor VPN IPSEC puro em execução no racoon, atendendo a clientes "road warrior". Temos algum NAT acontecendo no servidor para rotear externamente:
-A POSTROUTING -s 172.31.31.0/24 -o eth0 -j SNAT --to-source w.x.y.z
Funciona muito bem, com janelas, apple-ios e clientes android conectados perfeitamente.
O que queremos fazer é configurar o servidor para hospedar apenas algumas páginas da Web na VPN, ou seja, para o servidor ter um IP na VPN. Nós poderíamos fazer isso usando vpnc , para se conectar ao IP público, mas isso parece um exagero.
Existe uma maneira de fazer isso usando o racoon ou uma interface de loopback, talvez?
nosso (teste) guaxinim conf:
path pre_shared_key "/etc/racoon/psk.txt";
remote anonymous {
ph1id 1;
exchange_mode aggressive,main;
my_identifier user_fqdn "redacted";
peers_identifier keyid tag "blah";
dpd_delay 20;
ike_frag on;
nat_traversal on;
passive on;
initial_contact off;
generate_policy unique;
proposal_check claim;
lifetime time 24 hour;
mode_cfg on;
verify_cert off;
proposal {
encryption_algorithm aes;
hash_algorithm sha1;
#hash_algorithm md5;
authentication_method xauth_psk_server;
dh_group 2;
}
}
sainfo anonymous {
remoteid 1;
lifetime time 12 hour;
encryption_algorithm aes,3des,blowfish;
authentication_algorithm hmac_sha1,hmac_md5;
compression_algorithm deflate;
}
mode_cfg {
network4 172.31.31.1;
pool_size 100;
netmask4 255.255.255.0;
dns4 8.8.8.8;
auth_source pam;
save_passwd on;
}
Tags iptables ipsec ubuntu-10.04 racoon