Хвостат Хвостатыч (hvostat_hvostat) wrote,
Хвостат Хвостатыч
hvostat_hvostat

"Стыкуем лебедей"

Задача:
Настроить сервер с Centos + Strongswan, чтобы он выполнял функции промежуточного хоста/роутера между двумя удаленными подсетями.



Решение:
0) Устанавливаем Strongswan
1) Генерируем и распихиваем сертификаты, как описано в прошлом посте на тему.
2) Настраиваем два тоннеля до удаленных хостов. Прописываем в ipsec.conf примерно следующее:


3) Правим strongswan.conf. Добавляем строку:
install_routes = no

4) Создаём два тоннельных интерфейса:
# VTI1
# SPB
ip tunnel add ip_vti1 local 1.2.3.4 remote 5.6.7.8 mode vti key 45
ip link set mtu 1365 dev ip_vti1
sysctl -w net.ipv4.conf.ip_vti1.disable_policy=1
ip addr add 172.16.1.1/32 dev ip_vti1
sudo ip link set ip_vti1 up
route add -net 192.168.287.0/24 dev ip_vti1

# VTI2
# MSK
ip tunnel add ip_vti2 local 1.2.3.4 remote 9.1.2.3 mode vti key 42
ip link set mtu 1365 dev ip_vti2
sysctl -w net.ipv4.conf.ip_vti2.disable_policy=1
ip addr add 172.16.1.2/32 dev ip_vti2
ip link set ip_vti2 up
route add -net 192.168.277.0/24 dev ip_vti2

5) Разрешаем роутинг:
sysctl -w net.ipv4.ip_forward=1
sysctl -p

6) Немного танцев с бубном вокруг firewalld:
firewall-cmd --zone=work --add-interface=ip_vti1
firewall-cmd --zone=work --add-interface=ip_vti2
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i ip_vti1 -o ip_vti2 -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i ip_vti2 -o ip_vti1 -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i ip_vti1 -o ip_vti2 -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i ip_vti2 -o ip_vti1 -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
firewall-cmd --reload

7) Стартуем strongswan и "прибиваем гвоздями":
systemctl start strongswan.service
systemctl enable strongswan.service

8) Проверяем, как ходят пакеты.
Если всё ОК - создаём юнит systemd на основе п.4.

9) ???
10) PROFIT!!!



__
Tags: centos, ipsec, linux, routing, strongswan
Subscribe

  • "Мечты сбываются"

    Восемь лет назад я очень хотел устроиться в одну Крупную Международную Компанию. Если бы всё сложилось идеальным образом - я бы ходил на работу…

  • 10 0100

    ,,,=^.^=,,, __

  • "Бункер 703"

    В субботу сходил в сабж, заодно развиртуализировался с alex_avr2. Очень-очень интересная экскурсия, с возможностью не только посмотреть…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments