我正在尝试在我的家庭网络和办公室网络之间设置 IPsec 桥接。我想使用 StrongSwan 将流量加密为 IPsec
我正在尝试关注本指南
网络简要描述:
办公室网络有 3 台机器连接到廉价的 D-link 路由器,其中 2 台是 Linux 机器,应该能够从 IPsec 网络访问。另一台机器是 Windows,应该看不到任何 IPsec 流量
家庭网络有 2 台机器,一台是 Linux,应该能够访问 IPsec 网络,也可以从 IPsec 网络访问。另一台机器是 Windows,应该看不到任何 IPsec 流量
我不确定该如何处理这个问题,但是我现在非常关心 3 个问题:
1)首先是一个一般性问题;假设在互联网之外安排秘密预共享是可能的并且切实可行的(在本例中是这样的),那么手动设置密钥通常比设置 IKE 或 IKEv2 更安全吗?
2)我读了一些关于子网划分的内容,根据我对 strongswan 文档的解释,我应该设置一个站点到站点的网络,但我不确定应该在哪里寻找右/左/右子网/左子网 ip 和掩码来配置 ipsec。编辑更准确地说,我正在查看ifconfig输出并尝试决定如何将其转换为配置 rightsubnet/leftsubnet。哪些机器构成网关?有什么想法吗?抱歉,如果这个问题非常简单
3) 我想在实际网络中部署任何设置之前,先使用虚拟机在家中创建一个测试 IPsec 网络。这可行吗?我需要多少台虚拟机才能实现真实的场景?
谢谢你的耐心
(顺便说一句,我的声誉仍然不足以创建“strongswan”标签。如果有人创建它,我会很高兴用它来更新帖子)
答案1
- 设置预共享密钥仍然意味着您将使用 IKE 协议进行密钥协商。是的,预共享密钥被认为是安全的,只要它们不会被泄露。证书也是如此 - PKI 方案是安全的,只要私钥不会被泄露。
- 唯一简单的规则是左子网和右子网不应重叠(例如,不存在同时属于两个子网的 IP)。请查看下面的示例图或在 strongswan 网站上搜索示例 ipsec.conf 文件。
- 您将需要至少 2 台虚拟机作为“IPsec 网关”运行。如果您想要更多奇特的功能(例如 NAT 遍历),那么您还需要一台虚拟机来执行 NATTing(路由器)。
下面的图表解释了什么是左子网和什么是右子网:
Left_computer(192.168.0.2/24)<---> (192.168.0.1/24)Left_ipsec_gateway(Some_left_public_ip)<--->INTERNET<---> (Some_right_public_ip)Right_ipsec_gateway (192.168.1.1/24)<--->(192.168.1.2/24)Right_computer
此处的左子网是 192.168.0.0/24,右子网是 192.168.1.0/24。
对于 Left_computer(192.168.0.2/24),您必须指定 Left_ipsec_gateway(192.168.0.1/24) 作为 Right_subnet(192.168.1.0/24) 的网关。通常默认路由已经自动为您执行此操作。您也必须对右子网执行相同的操作。这也是我将运行 StrongSwan 的计算机称为“IPsec 网关”的原因。
希望这能有所帮助。Strongswan 有带图表的 wiki,你可能想看看。