LAN을 통해 두 개의 Ubuntu 12.04 PC 간에 IPSEC 터널 설정

tag-icon tag-icon security ppp tunneling ipsec xl2tpd
LAN을 통해 두 개의 Ubuntu 12.04 PC 간에 IPSEC 터널 설정

두 대의 ubuntu 12.04 32비트 PC가 있고 그 사이에 IPSec 터널을 설정하고 싶습니다. 두 시스템 모두에 IPsec 설정이 있으며 ipsec verify두 시스템 모두에서 잘 작동합니다. 저는 openswan을 사용해본 경험이 없기 때문에 구성 파일을 설정하는 것이 어렵다는 것을 알았습니다.

이것이 바로 조각이다ipsec.config

config setup
# Do not set debug options to debug configuration issues!
# plutodebug / klipsdebug = "all", "none" or a combation from below:
# "raw crypt parsing emitting control klips pfkey natt x509 dpd private"
# eg:
# plutodebug="control parsing"
# Again: only enable plutodebug or klipsdebug when asked by a developer
#
# enable to get logs per-peer
# plutoopts="--perpeerlog"
#
# Enable core dumps (might require system changes, like ulimit -C)
# This is required for abrtd to work properly
# Note: incorrect SElinux policies might prevent pluto writing the core
dumpdir=/var/run/pluto/
#
# NAT-TRAVERSAL support, see README.NAT-Traversal
nat_traversal=yes
# exclude networks used on server side by adding %v4:!a.b.c.0/24
# It seems that T-Mobile in the US and Rogers/Fido in Canada are
# using 25/8 as "private" address space on their 3G network.
# This range has not been announced via BGP (at least upto 2010-12-21)
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v6:fd00::/8,%v6:fe80::/10
# OE is now off by default. Uncomment and change to on, to enable.
oe=off
# which IPsec stack to use. auto will try netkey, then klips then mast
protostack=netkey
# Use this to log to a file, or disable logging on embedded systems (like openwrt)
#plutostderrlog=/dev/null

# Add connections here

# sample VPN connection
# for more examples, see /etc/ipsec.d/examples/
conn linux-to-linux
#       # Left security gateway, subnet behind it, nexthop toward right.
        left=192.168.58.17
#       leftsubnet=172.16.0.0/24
#       leftnexthop=10.22.33.44
#       # Right security gateway, subnet behind it, nexthop toward left.
        right=192.168.58.32
#       rightsubnet=192.168.0.0/24
#       rightnexthop=10.101.102.103
#       # To authorize this connection, but not actually start it, 
#       # at startup, uncomment this.
        auto=start

문의:

  1. 이제 내 네트워크의 지정된 토폴로지(그림 참조)를 기반으로 두 PC 모두에 대해 위의 구성이 정확합니다.
  2. 왼쪽 컴퓨터와 오른쪽 컴퓨터가 동일해야 하나요?
  3. 일단 설정되면 보안 터널이 작동하는지 확인하는 방법, 사용되는 알고리즘 및 패킷 내용을 검사하는 가장 좋은 도구는 무엇입니까?
  4. LAN 내부에서는 보안 IPsec 터널을 호스트-호스트 터널이라고 하며, 사이트 간 연결은 VPN이 작동 중일 때의 연결을 의미합니다.

토폴로지

관련 정보