Geekly Articles each Day

рдорд╛рдирдХ рдЙрдкрдХрд░рдг рдХреЛ рджрд░рдХрд┐рдирд╛рд░ рдХрд░рддреЗ рд╣реБрдП AmazonVPC рдХреЗ рд╕рд╛рде IPsec

рдкрд░рд┐рдЪрдпрд╛рддреНрдордХ рдФрд░ рдХрд╛рд░реНрдп рдХреА рд╕реНрдерд┐рддрд┐


рд╣рдорд╛рд░реЗ рдкрд╛рд╕ рдХрдИ рд╕рдмрдиреЗрдЯ рдХреЗ рд╕рд╛рде рдПрдХ рдЕрдореЗрдЬрд╝реЕрди рд╡реАрдкреАрд╕реА рд╣реИред
рд╡реАрдкреАрд╕реА рдХреЗ рдЕрдВрджрд░ рдХрдИ рд╕рдмрдиреЗрдЯ рдореЗрдВ рд╡рд┐рднрд╛рдЬрд┐рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред
рдЪрд▓реЛ рдЙрдирдореЗрдВ рд╕реЗ рджреЛ рд▓реЗрддреЗ рд╣реИрдВ
рдкрд╣рд▓реЗ рдПрдХ рдореЗрдВ (10.0.0.0/24 рдкрд░ рд╕реЗрдЯ), рдЪрд▓реЛ рдЗрд╕реЗ рдиреЗрдЯ 1 рдХрд╣рддреЗ рд╣реИрдВ, рд░реВрдЯрд┐рдВрдЧ рджреЗрд╢реА рдЕрдореЗрдЬрд╝реЕрди рдЗрдВрдЯрд░рдиреЗрдЯ рдЧреЗрдЯрд╡реЗ рджреНрд╡рд╛рд░рд╛ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рдЬреЛ рдкреНрд░рддреНрдпреЗрдХ рд╕рдмрдиреЗрдЯ рдХреЗ рд▓рд┐рдП рдЕрдкрдирд╛ рд╣реИред рдЖрдк Elastic IP рдХреЛ рдЗрд╕ рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ рдЗрдВрд╕реНрдЯреЗрдВрд╕ рдкрд░ рдмрд╛рдБрдз рд╕рдХрддреЗ рд╣реИрдВ рдФрд░ рд╡реЗ рдХрд╛рдо рдХрд░реЗрдВрдЧреЗред
рджреВрд╕рд░рд╛ (рд╕рдмрдиреЗрдЯ 10.0.1.0/24), рдЗрд╕реЗ net2 рд╣реЛрдиреЗ рджреЗрдВ - рдПрдХ рдкреВрд░реА рддрд░рд╣ рд╕реЗ рдмрдВрдж рд╕рдмрдиреЗрдЯ, рдЬрд┐рд╕рдореЗрдВ рд╕реЗ рдмрд╛рд╣рд░реА рд╕рдВрд╕рд╛рдзрдиреЛрдВ рддрдХ рдкрд╣реБрдВрдЪ рдХреЗрд╡рд▓ NAT рдкрд░ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд┐рдП рдЧрдП рдПрдХ рдЕрд▓рдЧ рдЙрджрд╛рд╣рд░рдг рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рд╕рдВрднрд╡ рд╣реИ (рдЪрд▓реЛ рдЗрд╕реЗ рд╕реЗрд╡рд╛ рдХрд╣рддреЗ рд╣реИрдВ)ред рдиреЗрдЯ 1 рд╕реЗ рдХрд┐рд╕реА рднреА рдЙрджрд╛рд╣рд░рдг рдХреЛ рдЫреЛрдбрд╝рдХрд░, рдмрд╛рд╣рд░ рд╕реЗ рдЗрд╕ рд╕рдмрдиреЗрдЯ рддрдХ рд╕реАрдзреА рдкрд╣реБрдБрдЪ рдХреЛ рд▓рд╛рдЧреВ рдирд╣реАрдВ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рдиреЗрдЯ 1 рдореЗрдВ рднреА рдпрд╣ рд╕реЗрд╡рд╛ рдореМрдЬреВрдж рд╣реИред
VPC рдХреЗ рдЕрдВрджрд░, рджреЛрдиреЛрдВ рд╕рдмрдиреЗрдЯ рдХреЗ рдЙрджрд╛рд╣рд░рдг рдПрдХ рджреВрд╕рд░реЗ рдХреЛ рджреЗрдЦрддреЗ рд╣реИрдВред
рдПрдХ рдХрд╛рд░реНрдпрд╛рд▓рдп рдиреЗрдЯрд╡рд░реНрдХ рднреА рд╣реИ, рдЗрд╕реЗ net0 (рд╕рдмрдиреЗрдЯ 192.168.5.0/24) рдХрд╣рд╛ рдЬрд╛рддрд╛ рд╣реИред
рдиреЗрдЯ 1 рдФрд░ рдЗрд╕рдХреЗ рд╡рд┐рдкрд░реАрдд рдореЗрдВ рдХрд╛рд░реНрдпрд╛рд▓рдп рд╕реЗ рд╕реБрд░рдХреНрд╖рд┐рдд рдкрд╣реБрдВрдЪ рдкреНрд░рджрд╛рди рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рдереАред рдпрд╣ рд╡рд░реНрдЪреБрдЕрд▓ рдкреНрд░рд╛рдЗрд╡реЗрдЯ рдЧреЗрдЯрд╡реЗ рдФрд░ рд╕рдВрдмрдВрдзрд┐рдд рд╕реЗрд╡рд╛рдУрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдЕрдореЗрдЬрд╝реЕрди рдХреЗ рд▓рд┐рдП рдореВрд▓ рд░реВрдк рд╕реЗ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред рд▓реЗрдХрд┐рди рдПрдХ рд╕рдорд╕реНрдпрд╛ рд╣реИ - рдмреАрдЬреАрдкреА рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рд░рд╛рдЙрдЯрд┐рдВрдЧ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рдЬреЛ рдХрд╛рд░реНрдпрд╛рд▓рдп рдХреЗ рдмреЙрд░реНрдбрд░ рд░рд╛рдЙрдЯрд░ рдореЗрдВ рдирд╣реАрдВ рд╣реИ рдФрд░ рдЕрдкреЗрдХреНрд╖рд┐рдд рдирд╣реАрдВ рд╣реИред рдЗрд╕рдореЗрдВ рдкрд╛рд╕рд╡рд░реНрдб рдкреНрд░рдорд╛рдгреАрдХрд░рдг рдХреЗ рд╕рд╛рде рдХреЗрд╡рд▓ рд╢реБрджреНрдз IPsec рд╣реИред рдЗрд╕ рд╕реНрдерд┐рддрд┐ рдореЗрдВ, рдЖрдкрдХреЛ рдЗрд╕рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдХрд╛рд░реНрдп рдХрд░рдирд╛ рдЪрд╛рд╣рд┐рдПред
рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрди рдпреЛрдЬрдирд╛ рдХреЛ рдзреНрдпрд╛рди рдореЗрдВ рдЖрддрд╛ рд╣реИ: рдПрдХ рд╕реЗрд╡рд╛ рдЙрджрд╛рд╣рд░рдг рдкрд░ рдЬрд┐рд╕рдореЗрдВ рдЗрдВрдЯрд░рдиреЗрдЯ рдХрд╛ рдЙрдкрдпреЛрдЧ рдФрд░ net1 рдХреЗ рдЕрдВрджрд░ рд╕рднреА рдЙрджрд╛рд╣рд░рдг рд╣реИрдВ, рдФрд░ рдЗрд╕рдореЗрдВ рдЗрд▓рд╛рд╕реНрдЯрд┐рдХ рдЖрдИрдкреА рднреА рд╣реИ, рдПрдХ IPSec рдХреНрд▓рд╛рдЗрдВрдЯ рдХреЛ рддреИрдирд╛рдд рдХрд░рддрд╛ рд╣реИ, рдПрдХ рдХрд╛рд░реНрдпрд╛рд▓рдп рд░рд╛рдЙрдЯрд░ рд╕реЗ рдХрдиреЗрдХреНрдЯ рд╣реЛрддрд╛ рд╣реИ рдФрд░ рдиреЗрдЯрд╡рд░реНрдХ рдХреЗ рдмреАрдЪ рд░реВрдЯрд┐рдВрдЧ рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рддрд╛ рд╣реИред


рдЗрдВрд╕реНрдЯреЗрдВрд╕ рд╕реЗрдЯрдЕрдк


рдореВрд▓ рдЙрджрд╛рд╣рд░рдг, рдЬрд┐рд╕реЗ рдЕрдореЗрдЬрд╝реЕрди рджреНрд╡рд╛рд░рд╛ рдЖрдкреВрд░реНрддрд┐ рдХреА рдЬрд╛рддреА рд╣реИ, рдореИрдВрдиреЗ рдЧреЗрдЯ рдХреЗ рд░реВрдк рдореЗрдВ рдЙрдкрдпреЛрдЧ рдирд╣реАрдВ рдХрд┐рдпрд╛, рдпрд╣ рдмрд╣реБрдд рдХрд╛рдЯ рджрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛, рдЗрд╕рд▓рд┐рдП рдореИрдВрдиреЗ рдЙрдмрдВрдЯреВ рд╕реНрдерд╛рдкрд┐рдд рдХрд┐рдпрд╛ред
рд╕рд░реНрд╡рд░ рдХреЛ рдЕрдкрдирд╛ рдореБрдЦреНрдп рдХрд╛рд░реНрдп рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, рдЙрджрд╛рд╣рд░рдг рдХреЗ рд▓рд┐рдП NAT рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП, VPC рдХрдВрдЯреНрд░реЛрд▓ рдкреИрдирд▓ рдореЗрдВ рд░рд╛рдЙрдЯрд┐рдВрдЧ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдХреЗ рдЕрд▓рд╛рд╡рд╛ рдпрд╣ рдЖрд╡рд╢реНрдпрдХ рд╣реИред
рдЗрд╕ рдорд╛рдорд▓реЗ рдореЗрдВ, рдЬреАрддрдирд╛ред
рдпрд╣ рдмрд╕ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ:
iptables -t nat -A POSTROUTING -o eth0 -s _vpc -j MASQUERADE
рдЕрдм рд╣рдореЗрдВ ipsec рдЙрдкрдпреЛрдЧрд┐рддрд╛рдУрдВ рдХреЛ рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ:
sudo aptitude install ipsec-tools
рд╕реНрдерд╛рдкрдирд╛ рдкреВрд░реНрдг рд╣реЛрдиреЗ рдХреЗ рдмрд╛рдж, рдЖрдк рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рдирд╛ рд╢реБрд░реВ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВред
sudo nano /etc/ipsec.conf
рдореБрдЦреНрдп рдкреНрд░рд╛рдзрд┐рдХрд░рдг рдХреЗ рд▓рд┐рдП, рд╡рд┐рдиреНрдпрд╛рд╕ рдЗрд╕ рдкреНрд░рдХрд╛рд░ рд╣реИ:
 config setup nat_traversal=yes plutodebug="all" protostack=netkey conn home left=%defaultroute #    ,    leftsubnet=%net1_network% leftid=%instance_ip% leftnexthop=%vpc_gateway% right=%dst_ip% rightid=%dst_ip% rightsubnet=%dst_net% authby=secret ike=3des-sha1-modp1024 #       esp=3des-sha1-96 #     pfs=yes forceencaps=yes auto=start

рдлрд╝рд╛рдЗрд▓ рдореЗрдВ /etc/ipsec.secret рд╣рдо рд▓рд┐рдЦрддреЗ рд╣реИрдВ:
 %instance_ip% %dst_ip%: PSK "YOUR_AUTH_KEY"


рдЬрд╣рд╛рдВ:
1.% net1_network% - рд╕рдмрдиреЗрдЯ рдЬрд┐рд╕реЗ рдЖрдк net0 рд╕реЗ рдПрдХреНрд╕реЗрд╕ рдХрд░рдиреЗ рдХреА рдШреЛрд╖рдгрд╛ рдХрд░ рд░рд╣реЗ рд╣реИрдВред рдореЗрд░реЗ рдорд╛рдорд▓реЗ рдореЗрдВ рдпрд╣ 10.0.1.0/24 рд╣реИред
2.% inst_ip% - рд╕реЗрд╡рд╛ рдкрд╛рдЧрд▓рдкрди рдХрд╛ рдЖрдИрдкреА рдЬрд┐рд╕ рдкрд░ рдЖрдк рдпрд╣ рд╕рдм рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рддреЗ рд╣реИрдВред
3.% vpc_gateway% рдЖрдкрдХреЗ VPC рдХреЗ рд▓рд┐рдП рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд░рд╛рдЙрдЯрд░ рд╣реИред рд╕реЗрд╡рд╛ рдЙрджрд╛рд╣рд░рдг рдХреЗ рд░реВрдЯрд┐рдВрдЧ рддрд╛рд▓рд┐рдХрд╛ рдореЗрдВ рдбрд┐рдлрд╝реЙрд▓реНрдЯ рдорд╛рд░реНрдЧ рдХреЗ рд░реВрдк рдореЗрдВ рд╕рдВрдХреЗрддрд┐рддред
4.% dst_ip% - рдиреЗрдЯ 0 рд░рд╛рдЙрдЯрд░ рдХрд╛ рдЖрдИрдкреА рдЬрд┐рд╕рд╕реЗ рдЖрдк рдХрдиреЗрдХреНрдЯ рдХрд░реЗрдВрдЧреЗред
5.% dst_net% - рдиреЗрдЯ 1 рдХреЗ рд▓рд┐рдП рдХрд╛рд░реНрдпрд╛рд▓рдп рдиреЗрдЯрд╡рд░реНрдХ рдХреА рдШреЛрд╖рдгрд╛ рдХреАред рдЗрд╕ рдорд╛рдорд▓реЗ рдореЗрдВ, 192.168.5.0/24ред

рдЬреИрд╕рд╛ рдХрд┐ рдЖрдк рдЪрд╛рд╣рддреЗ рд╣реИрдВ рд╣рдо рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдПрд▓реНрдЧреЛрд░рд┐рджрдо рдХреЛ рдЖрдкрдХреЗ рд╕реНрд╡рд╛рдж рдкрд░ рд╕реЗрдЯ рдХрд░рддреЗ рд╣реИрдВред

рдЬрд┐рд╕ рджрд┐рд╢рд╛ рдореЗрдВ рд╣рдореЗрдВ рдЖрд╡рд╢реНрдпрдХрддрд╛ рдирд╣реАрдВ рд╣реИ, рдЙрд╕ рджрд┐рд╢рд╛ рдореЗрдВ рдиреЗрдЯ рдХреЛ рдмрд╛рд╣рд░ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП NAT рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдХреЛ рдирд┐рдореНрди рдореЗрдВ рдмрджрд▓рдирд╛ рди рднреВрд▓реЗрдВ:
iptables -t nat -A POSTROUTING -o eth0 -s _vpc ! -d %dst_net% -j MASQUERADE
рдореИрдВ рджреВрд╕рд░реА рддрд░рдл рдХреА рд╕реЗрдЯрд┐рдВрдЧ рдХреЛ рдЫреЛрдбрд╝ рджреВрдВрдЧрд╛, рдХреНрдпреЛрдВрдХрд┐ рд▓реЛрд╣реЗ рдХреЗ рдЯреБрдХрдбрд╝реЗ рдХреЗ рдЖрдзрд╛рд░ рдкрд░ рд╡рд╣рд╛рдВ рд╕рдм рдХреБрдЫ рд╡рд┐рд╢рд┐рд╖реНрдЯ рд╣реИред рдпрд╣ 2 рдорд┐рдирдЯ рдореЗрдВ рдкреВрд░реА рддрд░рд╣ рд╕реЗ рджреГрд╢реНрдп рдореЛрдб рдореЗрдВ рдЖрд╕реБрд╕ рдкрд░ рдореЗрд░реЗ рд▓рд┐рдП рдХрд╛рдлреА рд╕рд░рд▓ рд╣реИред

рдЙрд╕рдХреЗ рдмрд╛рдж
sudo /etc/init.d/ipsec restart
рд╕рдм рдХреБрдЫ рд╢реБрд░реВ рд╣реЛрдирд╛ рдЪрд╛рд╣рд┐рдПред
рдпрджрд┐ рдирд╣реАрдВ, рддреЛ рд╕реНрдерд┐рддрд┐ рдХреЗ рдЕрдиреБрд╕рд╛рд░ред рдПрдХ рдЖрдо рд╕рдорд╕реНрдпрд╛ рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдорд┐рд╕рдореИрдЪ рд╣реИред
рд╕рд╛рдорд╛рдиреНрдп рддреМрд░ рдкрд░, рдпрд╣ рд╕рдм рдореИрдВ рдмрддрд╛рдирд╛ рдЪрд╛рд╣рддрд╛ рдерд╛ред
рдПрдХ рдЕрдЪреНрдЫреА рд╕реЗрдЯрд┐рдВрдЧ рд╣реИ!

Source: https://habr.com/ru/post/In148434/

More articles:


All Articles