[ITNOG] Strongswan (server) e VTI
Andrea Costantino
costan@amg.it
Sab 20 Giu 2015 10:09:54 CEST
Sui kernel recenti c'è un hook attraverso Fw marking per fare questa cosa, ma è complicata e decisamente meno elegante.
La soluzione che funziona da subito su tutte le distro è GRE over IPSEC. Puoi fare un tunnel GRE e poi proteggerlo con IPSEC.
Più overhead, ma semplice.
Il 19/giu/2015 08:23 PM, Marco Marzetti <marco@lamehost.it> ha scritto:
>
> Ciao,
>
> Sto provando a configurare un server IPSec con strongswan perchè
> comunichi con un client Linux.
>
> Visto che non ho una chiara idea di quante e quali rotte dovrò
> raggiungere tramite il server ho pensato di utilizzare IPSec VTI di
> Cisco ed attivare una sessione di peering BGP tra il router ed il server.
>
> Ho già fatto qualcosa di molto simile con un firewall al posto del
> server, ma non ho idea di come configurare Strongswan per quello scopo.
>
> Qualcuno sa aiutarmi?
>
> La parte cisco grossomodo dovrebbe essere la seguente:
>
> !
> crypto isakmp policy 10
> encr aes
> authentication pre-share
> group 5
> crypto isakmp key SECRET address 0.0.0.0 0.0.0.0
> !
> !
> crypto ipsec transform-set STRONGSWAN esp-aes esp-sha-hmac
> !
> crypto ipsec profile STRONGSWAN
> set transform-set STRONGSWAN
> set pfs group5
> !
> interface Tunnel0
> ip address 198.51.100.1 255.255.255.252
> tunnel source Dialer0
> tunnel destination 192.0.2.1
> tunnel mode ipsec ipv4
> tunnel protection ipsec profile STRONGSWAN
> !
>
> Grazie
>
>
> --
> Mailing list info: http://lists.itnog.it/listinfo/itnog
Maggiori informazioni sulla lista
itnog