4.7. 仮想プライベートネットワーク (VPN) のセキュア化

Red Hat Enterprise Linux 7 では、仮想プライベートネットワーク (VPN) は、Libreswan アプリケーションがサポートしている IPsec トンネリングプロトコルを使って設定できます。LibreswanOpenswan アプリケーションの分岐で、ドキュメント内の例は交換可能なものです。NetworkManager IPsec プラグインは、NetworkManager-libreswan と呼ばれます。GNOME Shell のユーザーは、NetworkManager-libreswan-gnome パッケージをインストールしてください。これには、依存関係として NetworkManager-libreswan が含まれています。NetworkManager-libreswan-gnome は、Optional チャンネルからのみ入手可能です。Enabling Supplementary and Optional Repositories を参照してください。
Libreswan は、Red Hat Enterprise Linux 7 で利用可能なオープンソースのユーザースペース IPsec 実装です。インターネット鍵交換 (IKE) プロトコルを使用します。IKE バージョン 1 および 2 は、ユーザーレベルのデーモンとして実装されます。ip xfrm コマンドを使って、手動で鍵を確立することも可能ですが、これは推奨されません。Libreswan は、netlink を使って Linux カーネルとインターフェース接続し、暗号化鍵を送信します。パケットの暗号化と暗号解読は、Linux カーネルで行われます。
Libreswanネットワークセキュリティサービス (NSS) 暗号化ライブラリーを使用します。これは、Federal Information Processing Standard: 米連邦情報処理規格 (FIPS) のセキュリティ準拠に必要なものです。

重要

Libreswan が実施する IPsec は、Red Hat Enterprise Linux 7 での使用が推奨される唯一の VPN 技術です。他の VPN は、そのリスクを理解することなく使用しないでください。

4.7.1. Libreswan を使った IPsec VPN

Libreswan をインストールするには、以下のコマンドを root で実行します。
~]# yum install libreswan
Libreswan がインストールされているかどうかを確認するには、以下のコマンドを実行します。
~]$ yum info libreswan
Libreswan を新規インストールすると、NSS データベースがインストールプロセスの一部として初期化されます。ただし、新規データベースを起動する必要がある場合は、以下のようにまず、古いデータベースを削除してください。
~]# rm /etc/ipsec.d/*db
その後に以下のコマンドを root で実行して、新規 NSS データベースを初期化します。
~]# ipsec initnss
Enter a password which will be used to encrypt your keys.
The password should be at least 8 characters long,
and should contain at least one non-alphabetic character.

Enter new password:
Re-enter password:
NSS にパスワードを使用しない場合は、パスワードが要求されたときに Enter を 2 回押します。パスワードを入力した場合は、システム起動時など、Libreswan の起動ごとに毎回パスワードの再入力が必要になります。
Libreswan が提供する ipsec デーモンの稼働を確認するには、以下のコマンドを実行します。
~]$ systemctl status ipsec
ipsec.service - Internet Key Exchange (IKE) Protocol Daemon for IPsec
   Loaded: loaded (/usr/lib/systemd/system/ipsec.service; disabled)
   Active: inactive (dead)
Libreswan が提供する ipsec デーモンを起動するには、root で以下のコマンドを実行します。
~]# systemctl start ipsec
デーモンが稼働していることを確認します。
~]$ systemctl status ipsec
ipsec.service - Internet Key Exchange (IKE) Protocol Daemon for IPsec
   Loaded: loaded (/usr/lib/systemd/system/ipsec.service; disabled)
   Active: active (running) since Wed 2013-08-21 12:14:12 CEST; 18s ago
システム起動時に Libreswan が起動するようにするには、root で以下のコマンドを実行します。
~]# systemctl enable ipsec
中間およびホストベースのファイアウォールが ipsec サービスを許可するように設定します。ファイアウォールおよび特定サービスの通過を許可することについての詳細情報は、「ファイアウォールの使用」 を参照してください。Libreswan の使用には、以下のパケットがファイアウォールを通過できるようにしておく必要があります。
  • Internet Key Exchange (IKE) プロトコル用に UDP ポート 500
  • IKE NAT-Traversal 用に UDP ポート 4500
  • Encapsulated Security Payload (ESP) IPsec パケット用に プロトコル 50
  • Authenticated Header (AH) IPsec パケット用にプロトコル 51 (一般的でない)
Libreswan を使って IPsec VPN を設定する例を 3 つ紹介します。ひとつ目は、2 つのホストを接続してセキュアな通信ができるようにします。2 つ目は、2 つのサイトを接続して 1 つのネットワークを形成します。3 つ目は、このコンテキストでは ロードウォリアー と呼ばれるローミングユーザーをサポートします。

4.7.2. Libreswan を使った VPN 設定

Libreswan では、ソース宛先 といった用語を使用しません。代わりに、エンドポイント (ホスト) に向かって および という用語を使用します。これにより、ほとんどのケースで両方のエンドポイントで同じ設定が使えるようになります。ただし、ほとんどの管理者はローカルホストにを、リモートホストにを使用します。
エンドポイントの認証には、3 つの一般的な方法が使用されます。
  • 事前共有鍵 (PSK) は、最もシンプルな認証方法です。PSK は任意の 20 以上の文字で構成されます。PSK が任意でなくかつ短いものになる危険があることから、システムが FIPS モードで稼働している際は、この方法は利用できません。
  • 生 RSA 鍵は、静的なホスト間またはサブネット間で一般的に使用される IPsec 設定です。ホストは、それぞれの公開 RSA 鍵で手動で設定されます。この方法は、12 以上のホストで相互に IPsec トンネルを設定する必要がある場合には、うまく拡張できません。
  • X.509 証明書は、共通の IPsec ゲートウェイに接続する必要のあるホストが多くある、大型の導入案件でよく使用されます。ホストまたはユーザーの RSA 証明書の署名には、中央 認証機関 (CA) が使用されます。この中央 CA は、個別ホストまたはユーザーの取り消しを含む信頼の中継を担当します。

4.7.3. Libreswan を使用したホスト間の VPN

Libreswan および と呼ばれる 2 つのホスト間で IPsec VPN を作成するよう設定するには、のホスト上で root で以下のコマンドを実行し、新たな生 RSA 鍵のペアを作成します。
~]# ipsec newhostkey --configdir /etc/ipsec.d \
          --output /etc/ipsec.d/www.example.com.secrets
Generated RSA key pair using the NSS database
これで ホストの RSA 鍵のペアが生成されます。エントロピーが低い仮想マシンでは特に、RSA 鍵の生成プロセスは時間が長くかかる場合があります。
公開鍵を表示するには、 と呼ばれるホスト上で root で以下のコマンドを実行します。
~]# ipsec showhostkey --left
# rsakey AQOrlo+hO
leftrsasigkey=0sAQOrlo+hOafUZDlCQmXFrje/oZm [...] W2n417C/4urYHQkCvuIQ==
以下で説明するように、この鍵を設定ファイルに追加する必要があります。
と呼ばれるホスト上で root で以下のコマンドを実行します。
~]# ipsec newhostkey --configdir /etc/ipsec.d \
          --output /etc/ipsec.d/www.example.com.secrets
Generated RSA key pair using the NSS database
公開鍵を表示するには、 と呼ばれるホスト上で root で以下のコマンドを実行します。
~]# ipsec showhostkey --right
# rsakey AQO3fwC6n
rightrsasigkey=0sAQO3fwC6nSSGgt64DWiYZzuHbc4 [...] D/v8t5YTQ==
この鍵を設定ファイルに追加する必要があります。
秘密の部分は、NSS データベース とも呼ばれる /etc/ipsec.d/*.db ファイルに保存されます。
このホスト間のトンネル用に設定ファイルを作成するには、上記の leftrsasigkey=rightrsasigkey= の各行を /etc/ipsec.d/ ディレクトリー内のカスタム設定ファイルに記載します。Libreswan がカスタム設定ファイルを読み取れるようにするには、root でエディターを実行し、メイン設定ファイルである /etc/ipsec.conf で以下の行の # 文字を削除します。これで、以下の行が有効になります。
include /etc/ipsec.d/*.conf
root でエディターを使用して以下の形式で適切な名前のファイルを作成します。
/etc/ipsec.d/my_host-to-host.conf
以下のようにファイルを編集します。
conn mytunnel
    leftid=@west.example.com
    left=192.1.2.23
    leftrsasigkey=0sAQOrlo+hOafUZDlCQmXFrje/oZm [...] W2n417C/4urYHQkCvuIQ==
    rightid=@east.example.com
    right=192.1.2.45
    rightrsasigkey=0sAQO3fwC6nSSGgt64DWiYZzuHbc4 [...] D/v8t5YTQ==
    authby=rsasig
    # load and initiate automatically
    auto=start
左右両方のホストに同一の設定ファイルを使用することができます。ホストはかを自動検出します。ホストのいずれかがモバイルホストであり、IP アドレスが事前に分からない場合は、モバイルホストの IP アドレスに %defaultroute を使用します。これで動的 IP アドレスが自動的に拾われます。モバイルホストからの接続を受け付ける静的ホストでは、IP アドレスに %any を指定します。
leftrsasigkey の値がのホストから、rightrsasigkey の値がのホストからであることを確認してください。
ipsec を再起動して、変更された設定を読み込みます。
~]# systemctl restart ipsec
root で以下のコマンドを実行して、IPsec トンネルを読み込みます。
~]# ipsec auto --add mytunnel
左右いずれかでトンネルを表示するには、root で以下のコマンドを実行します。
~]# ipsec auto --up mytunnel

4.7.3.1. Libreswan を使ったホスト間 VPN の検証

IKE 交渉は、UDP ポート 500 で行われます。IPsec パケットは、Encapsulated Security Payload (ESP) パケットとして現れます。VPN 接続が NAT ルーターを通過する必要がある場合は、ESP パケットはポート 4500 上の UDP パケットにカプセル化されます。
パケットが VPN トンネル経由で送信されていることを確認するには、root で以下の形式のコマンドを実行します。
~]# tcpdump -n -i interface esp or udp port 500 or udp port 4500
00:32:32.632165 IP 192.1.2.45 > 192.1.2.23: ESP(spi=0x63ad7e17,seq=0x1a), length 132
00:32:32.632592 IP 192.1.2.23 > 192.1.2.45: ESP(spi=0x4841b647,seq=0x1a), length 132
00:32:32.632592 IP 192.0.2.254 > 192.0.1.254: ICMP echo reply, id 2489, seq 7, length 64
00:32:33.632221 IP 192.1.2.45 > 192.1.2.23: ESP(spi=0x63ad7e17,seq=0x1b), length 132
00:32:33.632731 IP 192.1.2.23 > 192.1.2.45: ESP(spi=0x4841b647,seq=0x1b), length 132
00:32:33.632731 IP 192.0.2.254 > 192.0.1.254: ICMP echo reply, id 2489, seq 8, length 64
00:32:34.632183 IP 192.1.2.45 > 192.1.2.23: ESP(spi=0x63ad7e17,seq=0x1c), length 132
00:32:34.632607 IP 192.1.2.23 > 192.1.2.45: ESP(spi=0x4841b647,seq=0x1c), length 132
00:32:34.632607 IP 192.0.2.254 > 192.0.1.254: ICMP echo reply, id 2489, seq 9, length 64
00:32:35.632233 IP 192.1.2.45 > 192.1.2.23: ESP(spi=0x63ad7e17,seq=0x1d), length 132
00:32:35.632685 IP 192.1.2.23 > 192.1.2.45: ESP(spi=0x4841b647,seq=0x1d), length 132
00:32:35.632685 IP 192.0.2.254 > 192.0.1.254: ICMP echo reply, id 2489, seq 10, length 64
ここでの interface は、監視するインターフェースになります。tcpdump での表示を終了するには、Ctrl+C を押します。

注記

tcpdump コマンドと IPsec のインタラクションはやや予想外のものになります。見えるのは暗号化された送信パケットのみで、プレーンテキストの送信パケットは見えません。受信パケットは、暗号化および暗号解読された両方を表示します。可能であれば、tcpdump コマンドはどちらかのエンドポイント上ではなく、2 つのマシン間にあるルーター上で実行してください。

4.7.4. Libreswan を使ったサイト間の VPN

Libreswan が 2 つのネットワークを結合させるサイト間の IPsec VPN を作成するようにするには、エンドポイントとなる 2 つのホスト間に IPsec トンネルを作成します。これらのホストは、1 つ以上のサブネットからのトラフィック通過を許可するよう設定します。このため、これらはネットワークのリモート部分にはゲートウェイのように見えます。サイト間 VPN とホスト間 VPN の唯一の違いは、前者では 1 つ以上のネットワークまたはサブネットを設定ファイルで指定する必要があるという点です。
サイト間 IPsec VPN を作成するように Libreswan を設定するには、まず 「Libreswan を使用したホスト間の VPN」 にあるようにホスト間の IPsec VPN を設定し、その設定ファイルを /etc/ipsec.d/my_site-to-site.conf などの適切なファイル名にコピーまたは移動します。root としてエディターを使用して、カスタム設定ファイルである /etc/ipsec.d/my_site-to-site.conf を以下のように編集します。
conn mysubnet
     also=mytunnel
     leftsubnet=192.0.1.0/24
     rightsubnet=192.0.2.0/24

conn mysubnet6
     also=mytunnel
     connaddrfamily=ipv6
     leftsubnet=2001:db8:0:1::/64
     rightsubnet=2001:db8:0:2::/64

conn mytunnel
    auto=start
    leftid=@west.example.com
    left=192.1.2.23
    leftrsasigkey=0sAQOrlo+hOafUZDlCQmXFrje/oZm [...] W2n417C/4urYHQkCvuIQ==
    rightid=@east.example.com
    right=192.1.2.45
    rightrsasigkey=0sAQO3fwC6nSSGgt64DWiYZzuHbc4 [...] D/v8t5YTQ==
    authby=rsasig
トンネルを表示するには、Libreswan を再起動するか、root で以下のコマンドを実行して手動ですべての接続を読み込み、開始します。
~]# ipsec auto --add mysubnet
~]# ipsec auto --add mysubnet6
~]# ipsec auto --add mytunnel
~]# ipsec auto --up mysubnet
104 "mysubnet" #1: STATE_MAIN_I1: initiate
003 "mysubnet" #1: received Vendor ID payload [Dead Peer Detection]
003 "mytunnel" #1: received Vendor ID payload [FRAGMENTATION]
106 "mysubnet" #1: STATE_MAIN_I2: sent MI2, expecting MR2
108 "mysubnet" #1: STATE_MAIN_I3: sent MI3, expecting MR3
003 "mysubnet" #1: received Vendor ID payload [CAN-IKEv2]
004 "mysubnet" #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_RSA_SIG cipher=aes_128 prf=oakley_sha group=modp2048}
117 "mysubnet" #2: STATE_QUICK_I1: initiate
004 "mysubnet" #2: STATE_QUICK_I2: sent QI2, IPsec SA established tunnel mode {ESP=>0x9414a615 <0x1a8eb4ef xfrm=AES_128-HMAC_SHA1 NATOA=none NATD=none DPD=none}
~]# ipsec auto --up mysubnet6
003 "mytunnel" #1: received Vendor ID payload [FRAGMENTATION]
117 "mysubnet" #2: STATE_QUICK_I1: initiate
004 "mysubnet" #2: STATE_QUICK_I2: sent QI2, IPsec SA established tunnel mode {ESP=>0x06fe2099 <0x75eaa862 xfrm=AES_128-HMAC_SHA1 NATOA=none NATD=none DPD=none}
~]# ipsec auto --up mytunnel
104 "mytunnel" #1: STATE_MAIN_I1: initiate
003 "mytunnel" #1: received Vendor ID payload [Dead Peer Detection]
003 "mytunnel" #1: received Vendor ID payload [FRAGMENTATION]
106 "mytunnel" #1: STATE_MAIN_I2: sent MI2, expecting MR2
108 "mytunnel" #1: STATE_MAIN_I3: sent MI3, expecting MR3
003 "mytunnel" #1: received Vendor ID payload [CAN-IKEv2]
004 "mytunnel" #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_RSA_SIG cipher=aes_128 prf=oakley_sha group=modp2048}
117 "mytunnel" #2: STATE_QUICK_I1: initiate
004 "mytunnel" #2: STATE_QUICK_I2: sent QI2, IPsec SA established tunnel mode {ESP=>0x9414a615 >0x1a8eb4ef xfrm=AES_128-HMAC_SHA1 NATOA=none NATD=none DPD=none}

4.7.4.1. Libreswan を使ったサイト間 VPN の検証

パケットが VPN トンネル経由で送信されていることを確認する方法は、「Libreswan を使ったホスト間 VPN の検証」 で説明されている手順と同じになります。

4.7.5. Libreswan を使ったサイト間の単一トンネル VPN

サイト間のトンネルを構築する際には、ゲートウェイは公開 IP アドレスではなく、内部の IP アドレスを使って相互に通信する必要が多くあります。これは、単一トンネルを使用することで実行できます。ホスト名が west の左のホストの内部 IP アドレスが 192.0.1.254 で、ホスト名が east の右のホストの IP アドレスが 192.0.2.254 の場合、単一トンネルを使った以下の設定が使用できます。
conn mysubnet
    leftid=@west.example.com
    leftrsasigkey=0sAQOrlo+hOafUZDlCQmXFrje/oZm [...] W2n417C/4urYHQkCvuIQ==
    left=192.1.2.23
    leftsourceip=192.0.1.254
    leftsubnet=192.0.1.0/24
    rightid=@east.example.com
    rightrsasigkey=0sAQO3fwC6nSSGgt64DWiYZzuHbc4 [...] D/v8t5YTQ==
    right=192.1.2.45
    rightsourceip=192.0.2.254
    rightsubnet=192.0.2.0/24
    auto=start
    authby=rsasig

4.7.6. Libreswan を使ったサブネット押し出し

IPsec は、ハブおよびスポークのアーキテクチャーで導入されることがよくあります。各リーフノードには、広い範囲の一部である IP 範囲があります。各リーフはハブ経由で相互に通信します。これは、サブネット押し出しと呼ばれます。下記の例では、ヘッドオフィスを 10.0.0.0/8 で設定し、2 つのブランチでは小型の /24 サブネットを使用します。
ヘッドオフィスでは以下のようになります。
conn branch1
    left=1.2.3.4
    leftid=@headoffice
    leftsubnet=0.0.0.0/0
    leftrsasigkey=0sA[...]
    #
    right=5.6.7.8
    rightid=@branch1
    righsubnet=10.0.1.0/24
    rightrsasigkey=0sAXXXX[...]
    #
    auto=start
    authby=rsasigkey

conn branch2
    left=1.2.3.4
    leftid=@headoffice
    leftsubnet=0.0.0.0/0
    leftrsasigkey=0sA[...]
    #
    right=10.11.12.13
    rightid=@branch2
    righsubnet=10.0.2.0/24
    rightrsasigkey=0sAYYYY[...]
    #
    auto=start
    authby=rsasigkey
branch1 オフィスでは、同一の接続を使用します。さらに、パススルー (pass-through) 接続を使用して、ローカル LAN トラフィックをトンネル経由の送信から除外します。
conn branch1
    left=1.2.3.4
    leftid=@headoffice
    leftsubnet=0.0.0.0/0
    leftrsasigkey=0sA[...]
    #
    right=10.11.12.13
    rightid=@branch2
    righsubnet=10.0.1.0/24
    rightrsasigkey=0sAYYYY[...]
    #
    auto=start
    authby=rsasigkey

conn passthrough
    left=1.2.3.4
    right=0.0.0.0
    leftsubnet=10.0.1.0/24
    rightsubnet=10.0.1.0/24
    authby=never
    type=passthrough
    auto=route

4.7.7. Libreswan を使ったロードウォリアーアプリケーション

ロードウォリアーとは、ノート PC などのモバイルクライアントを使用する移動ユーザーのことで、これらのクライアントには動的に IP アドレスが割り当てられます。これは、証明書を使って認証します。
サーバー上では以下の設定になります。
conn roadwarriors
    left=1.2.3.4
    # if access to the LAN is given, enable this
    #leftsubnet=10.10.0.0/16
    leftcert=gw.example.com
    leftid=%fromcert
    right=%any
    # trust our own Certificate Agency
    rightca=%same
    # allow clients to be behind a NAT router
    rightsubnet=vhost:%priv,%no
    authby=rsasigkey
    # load connection, don't initiate
    auto=add
    # kill vanished roadwarriors
    dpddelay=30
    dpdtimeout=120
    dpdaction=%clear
ロードウォリアーのデバイスであるモバイルクライアント上では、上記の設定に多少変更を加えて使用します。
conn roadwarriors
    # pick up our dynamic IP
    left=%defaultroute
    leftcert=myname.example.com
    leftid=%fromcert
    # right can also be a DNS hostname
    right=1.2.3.4
    # if access to the remote LAN is required, enable this
    #rightsubnet=10.10.0.0/16
    # trust our own Certificate Agency
    rightca=%same
    authby=rsasigkey
    # Initiate connection
    auto=start

4.7.8. Libreswan および X.509 証明書による XAUTH を使ったロードウォリアーアプリケーション

Libreswan は、接続確立の際に XAUTH IPsec 拡張機能を使って、ローミング VPN クライアントに対してネイティブに IP アドレスと DNS 情報を割り当てる方法を提供します。XAUTH は、PSK または X.509 証明書を使って導入することができます。X.509 を使った導入の方がより安全です。クライアントの証明書は、証明書失効リストまたは Online Certificate Status Protocol (OCSP) で失効させることができます。X.509 証明書を使うと、個別のクライアントはサーバーを偽装することができません。グループパスワードとも呼ばれる PSK を使うと、これは理論上は可能になります。
XAUTH は、それ自体とユーザー名およびパスワードを新たに確認するために、VPN クライアントを必要とします。Google 認証システムや RSA SecureID トークンなどのワンタイムパスワード (OTP) では、ユーザーパスワードにワンタイムトークンが付けられます。
XAUTH では、以下の 3 つのバックエンドが考えられます。
xauthby=pam
これは、/etc/pam.d/pluto にある設定を使用してユーザーを認証します。Pam は、それ自体で様々なバックエンドを使用するように設定できます。システムアカウントのユーザーパスワードスキームや LDAP ディレクトリー、RADIUS サーバー、カスタムパスワード認証モジュールなどが使用可能です。
xauthby=file
これは、設定ファイル /etc/ipsec.d/passwd (/etc/ipsec.d/nsspassword と混同しないこと) を使用します。このファイルの形式は Apache .htpasswd ファイルと同様のもので、Apache htpasswd コマンドはこのファイルのエントリー作成に使用できます。ただし、ユーザー名とパスワードの後に、使用する IPsec 接続の接続名が 3 番目のコラムに必要になります。たとえば、"conn remoteusers" を使用してリモートユーザーに VPN を提供する場合、パスワードファイルのエントリーは以下のようになります。
user1:$apr1$MIwQ3DHb$1I69LzTnZhnCT2DPQmAOK.:remoteusers
htpasswd コマンドを使用する際は、各行の user:password の後に接続名を手動で追加する必要があることに注意してください。
xauthby=alwaysok
サーバーは常に、XAUTH ユーザーとパスワードの組み合わせが適切であるように装います。サーバーはユーザー名とパスワードを無視しますが、クライアントはこれらを指定する必要があります。これはユーザーが X.509 証明書で既に特定されている場合、もしくは XAUTH バックエンドが不要な VPN をテストしている場合にのみ使用します。
X.509 証明書を使った設定例を以下に示します。
conn xauth-rsa
    auto=add
    authby=rsasig
    pfs=no
    rekey=no
    left=ServerIP
    leftcert=vpn.example.com
    #leftid=%fromcert
    leftid=vpn.example.com
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    rightaddresspool=10.234.123.2-10.234.123.254
    right=%any
    rightrsasigkey=%cert
    modecfgdns1=1.2.3.4
    modecfgdns2=8.8.8.8
    modecfgdomain=example.com
    modecfgbanner="Authorized Access is allowed"
    leftxauthserver=yes
    rightxauthclient=yes
    leftmodecfgserver=yes
    rightmodecfgclient=yes
    modecfgpull=yes
    xauthby=pam
    dpddelay=30
    dpdtimeout=120
    dpdaction=clear
    ike_frag=yes
    # for walled-garden on xauth failure
    # xauthfail=soft
    #leftupdown=/custom/_updown
xauthfail を hard ではなく soft に設定すると認証失敗は無視され、VPN はユーザーが適切に認証したかのように設定されます。カスタムのアップダウンスクリプトを使用すると、環境変数 XAUTH_FAILED をチェックできます。このようなユーザーは、たとえば iptables DNAT を使って walled garden にリダイレクトすることが可能です。リダイレクト先では管理者に連絡を取ったりサービスの有料サブスクリプションの更新などができます。
VPN クライアントは、modecfgdomain の値と DNS エントリーを使って特定ドメインに対するクエリを指定されたネームサーバーにリダイレクトします。これにより、ローミングユーザーは内部 DNS ネームを使って内部のみのリソースにアクセスできるようになります。
leftsubnet0.0.0.0/0 でない場合は、分割トンネリング設定要求が自動的にクライアントに送信されます。たとえば、leftsubnet=10.0.0.0/8 を使用すると、VPN クライアントは 10.0.0.0/8 のトラフィックのみを VPN 経由で送信します。

4.7.9. その他のリソース

以下のドキュメントは、Libreswan および ipsec デーモンに関する追加リソースを提供します。

4.7.9.1. インストールされているドキュメント

  • ipsec(8) man ページ — ipsec のコマンドオプションを説明しています。
  • ipsec.conf(5) man ページ — ipsec の設定情報が含まれています。
  • ipsec.secrets(5) man ページ — ipsec.secrets ファイルの形式を説明しています。
  • ipsec_auto(8) man ページ — 鍵の自動交換を使用して確立された Libreswan IPsec 接続を操作する auto コマンドラインクライアントの使用方法を説明しています。
  • ipsec_rsasigkey(8) man ページ — RSA 署名鍵の生成に使用するツールを説明しています。
  • /usr/share/doc/libreswan-version/README.nssLibreswan pluto デーモンの NSS 暗号化ライブラリーで使用する生 RSA 鍵と証明書の使用に関するコマンドを説明しています。

4.7.9.2. オンラインのドキュメント

https://libreswan.org
アップストリームプロジェクトの Web サイトです。
http://www.mozilla.org/projects/security/pki/nss/
Network Security Services (NSS) プロジェクトです。