Построение корпоративных VPN. Часть 11. Linux-Linux, Linux-FreeBSD и Linux-Mikrotik через strongSwan

 РАШИД АЧИЛОВ, главный специалист по защите информации в компании, занимающейся автоматизацией горнодобывающей промышленности, shelton@sheltonsoft.ru

Построение корпоративных VPN
Часть 11. Linux-Linux, Linux-FreeBSD и Linux-Mikrotik через strongSwan

Рассмотрим варианты соединения Linux-Linux с помощью strongSwan, но уже с учетом динамического адреса клиента, а также соединение между Linux и FreeBSD и между Linux и Mikrotik

Что в адресе тебе моем?

Ситуация, когда в VPN объединяются подсети, подключенные через устройства с постоянным IP, хоть и достаточно характерна для построения основной структуры VPN, все же встречается довольно редко – ведь не каждый же день компания открывает новый филиал или переносит старый в новый офис. Гораздо чаще встречается ситуация, когда к VPN подключается мобильный клиент – один или несколько сотрудников, работающих удаленно.

Подключение мобильного клиента, работающего под Windows или Android, мы рассмотрим в следующих частях, сейчас разберем, как организовать работу «на выезде», когда в произвольной точке сети включается роутер (дляопределенности предположим, что это Mikrotik RB450G) и на портах его локальной сети появляется VPN в локальную сеть компании. Разумеется, при условии, что порт 500 не заблокирован и к сети можно подключать столько устройств, сколько необходимо.

Скажете, искусственная задача? Отнюдь. Она характерна для любого внедрения какого-либо технически сложного решения – приходится все свое везти с собой, потому что на месте добраться до внутренних ресурсов компании, какправило, просто так не получается.

Это же решение можно применить, когда провайдер не в состоянии предоставить выделенный IP и приходится довольствоваться реальным, но динамически выделяемым адресом.

Итак, наша прежняя схема [1] изображена на рис. 1.

Рисунок 1. Схема тестовой модели сети

Будем строить VPN между узлами с IP 212.20.5.1 и Сетью В. Все адреса и имена на схеме вымышленные и в реальности не существуют. Будут использоваться дистрибутив CentOS 6.7, ядро 2.6.32.

C одним нововведением – у Сети В нет фиксированного IP-адреса. Он динамический, то есть от включения к включению роутера он меняется.

Статью целиком читайте в журнале «Системный администратор», №04 за 2016 г. на страницах 30-34.

PDF-версию данного номера можно приобрести в нашем магазине.

1. Ачилов Р. Построение корпоративных VPN. Часть 10. Связь Linux-Linux с помощью strongSwan. // «Системный администратор», №1-2, 2016 г. – С. 23-27 (http://samag.ru/archive/article/3113).
2. Сайт проекта FreeS/WAN – http://www.freeswan.org/download.html.
3. Документация по Openswan – https://github.com/xelerance/Openswan/wiki.
4. Сайт проекта strongSwan – https://www.strongswan.org.
5. Полная схема прохождения пакетов через iptables, включающая XFRM (обработку IPSec-пакетов) – https://commons.wikimedia.org/wiki/File:Netfilter-packet-flow.svg.

Комментарии могут оставлять только зарегистрированные пользователи