Инструменты безопасности с открытым исходным кодом


Применение FreeS/WAN - часть 3


conn road left=%defaultroute leftnexthop=%defaultroute leftid=@tonyslaptop.example.com leftrsasigkey=0sAQPIPN9uI... right=192.0.2.2 rightsubnet=10.0.0.0/24 rightid=@gateway.example.com rightrsasigkey=0sAQOnwiBPt... auto=add

В удаленной конфигурации %defaultroute служит для получения вашего динамического IP-адреса.

  • Сторона Right должна содержать информацию для шлюза. Зайдите на машину шлюза и примените следующий шаблон для файла ipsec.conf: conn road left=192.0.2.2 leftid=@gateway.example.com leftsubnet=192.0.2.1/24 leftrsasigkey=0sAQOnwiBPt... rightnexthop=%defaultroute right=%any rightid=@tonyslaptop.example.com rightrsasigkey=0sAQPIPN9uI... auto=add

    Обратите внимание, что строки в файле на шлюзе переставлены, Left обозначает локальную машину, а Right - удаленную, IP-адрес которой задан как %anys. Это метасимвол, допускающий произвольный IP-адрес, так как он станет известен, лишь когда удаленный пользователь попытается установить соединение.

  • Сохраните этот файл.
  • Все готово к соединению. Проверьте, что IPsec выполняется на машине шлюза, а затем наберите следующую команду на стороне удаленного пользователя: ipsec auto --start road

    Это, как и раньше, должно инициировать соединение. Если вы не получите сообщение "Ipsec SA established", проверьте настройки или обратитесь к разделу устранения неисправностей на web-сайте FreeS/WAN.

  • Протестируйте и верифицируйте соединение так же, как для конфигурации net-to-net.
  • Можно установить несколько удаленных соединений, как в предыдущей процедуре, и переименовать их содержательным образом.
  • Оппортунистическое шифрование

    Если вы хотите воспользоваться данной возможностью FreeS/WAN, то ваш шлюзовый компьютер не должен располагаться позади межсетевого экрана, применяющего трансляцию сетевых адресов (изменение IP-адреса в заголовках нарушит режим проверки заголовков IPsec). Желательно, чтобы IP-адрес шлюза был статическим. Шифрование "по возможности" бывает полным или частичным. В полном режиме вы можете инициировать исходящие соединения IPsec, равно как и другие хосты IPsec могут инициировать сеансы оппортунистического шифрования с вашим шлюзом.


    Начало  Назад  Вперед



    Книжный магазин