[ITNOG] Strongswan (server) e VTI

Andrea Costantino costan@amg.it
Sab 20 Giu 2015 10:09:54 CEST


Sui kernel recenti c'è un hook attraverso Fw marking per fare questa cosa, ma è complicata e decisamente meno elegante.

La soluzione che funziona da subito su tutte le distro è GRE over IPSEC. Puoi fare un tunnel GRE e poi proteggerlo con IPSEC.

Più overhead, ma semplice.


Il 19/giu/2015 08:23 PM, Marco Marzetti <marco@lamehost.it> ha scritto:
>
> Ciao, 
>
> Sto provando a configurare un server IPSec con strongswan perchè 
> comunichi con un client Linux. 
>
> Visto che non ho una chiara idea di quante e quali rotte dovrò 
> raggiungere tramite il server ho pensato di utilizzare IPSec VTI di 
> Cisco ed attivare una sessione di peering BGP tra il router ed il server. 
>
> Ho già fatto qualcosa di molto simile con un firewall al posto del 
> server, ma non ho idea di come configurare Strongswan per quello scopo. 
>
> Qualcuno sa aiutarmi? 
>
> La parte cisco grossomodo dovrebbe essere la seguente: 
>
> ! 
> crypto isakmp policy 10 
>   encr aes 
>   authentication pre-share 
>   group 5 
> crypto isakmp key SECRET address 0.0.0.0 0.0.0.0 
> ! 
> ! 
> crypto ipsec transform-set STRONGSWAN esp-aes esp-sha-hmac 
> ! 
> crypto ipsec profile STRONGSWAN 
>   set transform-set STRONGSWAN 
>   set pfs group5 
> ! 
> interface Tunnel0 
>   ip address 198.51.100.1 255.255.255.252 
>   tunnel source Dialer0 
>   tunnel destination 192.0.2.1 
>   tunnel mode ipsec ipv4 
>   tunnel protection ipsec profile STRONGSWAN 
> ! 
>
> Grazie 
>
>
> -- 
> Mailing list info: http://lists.itnog.it/listinfo/itnog 


Maggiori informazioni sulla lista itnog