Рубрика:
Администрирование /
Инструменты
|
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
РАШИД АЧИЛОВ, главный специалист по защите информации в компании, занимающейся автоматизацией горнодобывающей промышленности, shelton@sheltonsoft.ru
Построение корпоративных VPN Часть 11. Linux-Linux, Linux-FreeBSD и Linux-Mikrotik через strongSwan
Рассмотрим варианты соединения Linux-Linux с помощью strongSwan, но уже с учетом динамического адреса клиента, а также соединение между Linux и FreeBSD и между Linux и Mikrotik
Что в адресе тебе моем?
Ситуация, когда в VPN объединяются подсети, подключенные через устройства с постоянным IP, хоть и достаточно характерна для построения основной структуры VPN, все же встречается довольно редко – ведь не каждый же день компания открывает новый филиал или переносит старый в новый офис. Гораздо чаще встречается ситуация, когда к VPN подключается мобильный клиент – один или несколько сотрудников, работающих удаленно.
Подключение мобильного клиента, работающего под Windows или Android, мы рассмотрим в следующих частях, сейчас разберем, как организовать работу «на выезде», когда в произвольной точке сети включается роутер (дляопределенности предположим, что это Mikrotik RB450G) и на портах его локальной сети появляется VPN в локальную сеть компании. Разумеется, при условии, что порт 500 не заблокирован и к сети можно подключать столько устройств, сколько необходимо.
Скажете, искусственная задача? Отнюдь. Она характерна для любого внедрения какого-либо технически сложного решения – приходится все свое везти с собой, потому что на месте добраться до внутренних ресурсов компании, какправило, просто так не получается.
Это же решение можно применить, когда провайдер не в состоянии предоставить выделенный IP и приходится довольствоваться реальным, но динамически выделяемым адресом.
Итак, наша прежняя схема [1] изображена на рис. 1.
Рисунок 1. Схема тестовой модели сети
Будем строить VPN между узлами с IP 212.20.5.1 и Сетью В. Все адреса и имена на схеме вымышленные и в реальности не существуют. Будут использоваться дистрибутив CentOS 6.7, ядро 2.6.32.
C одним нововведением – у Сети В нет фиксированного IP-адреса. Он динамический, то есть от включения к включению роутера он меняется.
Статью целиком читайте в журнале «Системный администратор», №04 за 2016 г. на страницах 30-34.
PDF-версию данного номера можно приобрести в нашем магазине.
- Ачилов Р. Построение корпоративных VPN. Часть 10. Связь Linux-Linux с помощью strongSwan. // «Системный администратор», №1-2, 2016 г. – С. 23-27 (http://samag.ru/archive/article/3113).
- Сайт проекта FreeS/WAN – http://www.freeswan.org/download.html.
- Документация по Openswan – https://github.com/xelerance/Openswan/wiki.
- Сайт проекта strongSwan – https://www.strongswan.org.
- Полная схема прохождения пакетов через iptables, включающая XFRM (обработку IPSec-пакетов) – https://commons.wikimedia.org/wiki/File:Netfilter-packet-flow.svg.
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|