標準ツールをバイパスするAmazonVPCを使用したIPsec

入門およびタスクの条件

複数のサブネットを持つAmazon VPCがあります。

VPC内では、いくつかのサブネットに分割されています。

それらのうち2つを取り上げましょう。

最初のもの（10.0.0.0/24に設定）では、net1と呼びましょう。ルーティングは、ネイティブのAmazon Internet Gatewayによって実行されます。これは、サブネットごとに独自のものを持っています。 Elastic IPをこのネットワーク上のインスタンスにバインドすると、それらは機能します。

2番目（サブネット10.0.1.0/24)、net2になります-完全に閉じられたサブネットで、外部リソースへのアクセスは、NATが設定された個別のインスタンスを介してのみ可能です（サービスと呼びましょう）。 このサブネットへの外部からの直接アクセスは、net1のインスタンスを介した場合を除き、実装できません。 サービス自体もnet1に存在します。

VPC内では、両方のサブネットのインスタンスが相互に認識します。

オフィスネットワークもあり、net0（サブネット192.168.5.0/24）と呼ばれます。

オフィスからnet1のインスタンスへ、またはその逆への安全なアクセスを提供する必要がありました。 これは、Virtual Private Gatewayおよび関連サービスを使用して、Amazonに対してネイティブに実行できます。 ただし、1つの問題があります。ルーティングはBGPを介して行われますが、これはオフィスの境界ルーターではなく、また予期されていません。 パスワード認証を備えた純粋なIPsecのみがあります。 この状況では、それを介して行動する必要があります。

次の実装スキームが思い浮かびます：インターネットアクセスとnet1内のすべてのインスタンスがあり、Elastic IPもあるサービスインスタンスで、IPSecクライアントを展開し、オフィスルーターに接続し、ネットワーク間のルーティングを構成します。

インスタンスのセットアップ

Amazonが提供するネイティブインスタンスは、ゲートとして使用しませんでした。切断されすぎたため、Ubuntuをインストールしました。

サーバーがその主な機能を実行するには、VPCコントロールパネルのルーティング設定に加えて、インスタンスでNATを構成する必要があります。

この場合、マスカレード。

これは単純に行われます：

iptables -t nat -A POSTROUTING -o eth0 -s _vpc -j MASQUERADE





次に、ipsecユーティリティをインストールする必要があります。

sudo aptitude install ipsec-tools





インストールが完了したら、構成を開始できます。

sudo nano /etc/ipsec.conf





キー認証の場合、構成は次のとおりです。

 config setup nat_traversal=yes plutodebug="all" protostack=netkey conn home left=%defaultroute #    ,    leftsubnet=%net1_network% leftid=%instance_ip% leftnexthop=%vpc_gateway% right=%dst_ip% rightid=%dst_ip% rightsubnet=%dst_net% authby=secret ike=3des-sha1-modp1024 #       esp=3des-sha1-96 #     pfs=yes forceencaps=yes auto=start
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

/etc/ipsec.secretファイルに次のように記述します。

 %instance_ip% %dst_ip%: PSK "YOUR_AUTH_KEY"
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

どこで：

1.％net1_network％-net0からのアクセスをアナウンスするサブネット。 私の場合は10.0.1.0/24です。

2.％instance_ip％-このすべてを設定するサービスの狂気のIP。

3.％vpc_gateway％は、VPCのデフォルトルーターです。 サービスインスタンスのルーティングテーブルでデフォルトルートとして示されます。

4.％dst_ip％-接続先のnet0ルーターのIP。

5.％dst_net％-net1用に発表されたオフィスネットワーク。 この場合、192.168.5.0 / 24。



希望に応じて暗号化アルゴリズムを好みに合わせて設定します。



不要な方向のnatを除外するために、NAT設定を次のように変更することを忘れないでください。

iptables -t nat -A POSTROUTING -o eth0 -s _vpc ! -d %dst_net% -j MASQUERADE





鉄の部分に応じてすべてがそこに固有であるため、2番目の側の設定は省略します。 Asusで2分で完全に視覚的なモードで実行するのは非常に簡単です。



その後

sudo /etc/init.d/ipsec restart





すべてが始まります。

そうでない場合は、状況に応じて。 一般的な問題は、暗号化の不一致です。

一般に、私が伝えたかったのはそれだけです。

素敵な設定をしてください！