同一子网上的Amazon EC2实例之间的Linux IPSec

同一子网上的Amazon EC2实例之间的Linux IPSec

我需要保护 Amazon EC2 上 Linux 实例之间的所有通信 - 我们需要将 EC2 网络视为已受威胁,因此需要保护在 EC2 子网内传输的数据。需要保护的实例将全部位于同一子网上。我是一名 Windows 人员,但 Linux 能力有限,因此熟悉 IPSec 术语并熟悉 Linux,但在设置 Linux IPSec 环境方面却一无所知。

有人能给我提供一些关于在子网上的所有 (Linux) 主机之间设置 IPSec 的信息吗?我只能找到与站点到站点连接或主机到主机连接有关的信息,而找不到涵盖所有 Lan 通信的信息。如果有帮助的话,我们目前正在使用 OpenSwan 进行站点到站点 VPN。

已更新更多信息

这是一个示例配置(使用预共享密钥在两个主机之间进行连接非常简单):

    conn test
    type=tunnel
    auto=start
    authby=secret
    left=10.0.2.4
    right=10.0.2.5
    pfs=yes

如果我现在想要保护 4 个主机(或 8、10、100 个等)之间的所有流量,有没有办法使左和右参数更通用,因此它们的意思是“加密所有主机之间的流量”而不是必须明确指定左和右主机。

我的目标是实现没有硬编码主机 IP(子网就可以了)的通用配置,以便我们可以将该配置包含在我们的 EC2 映像中。

谢谢 Mick

答案1

简而言之,是的,在子网上的主机之间运行隧道应该没有任何问题,而不必添加到端点后面的网络的路由,而是必须添加主机路由(/32)。

关于如何设置站点到站点隧道的通用指南可能会有用:使用 Debian/Ubuntu 和 Openswan 构建站点到站点 VPN

我个人会使用 OpenVPN,因为它的性质更简单,但如果需要 IPSec,则必须使用 OpenSwan。

相关内容