2.7.3. Openswan を使った IPsec VPN

Openswan のインストール

Openswan をインストールするには、root で以下のコマンドを実行します。
~]# yum install openswan
パッケージに加えて、2 つの鍵のインストールを許可するよう尋ねられます。
root で以下のコマンドを実行して、network security services (NSS) データベースを初期化します。
~]# certutil -N -d /etc/ipsec.d/
Enter a password which will be used to encrypt your keys.
The password should be at least 8 characters long,
and should contain at least one non-alphabetic character.

Enter new password:
Re-enter password:
NSS にパスワードを使用しない場合は、パスワードのプロンプトで Enter を 2 回押します。パスワードを入力した場合は、システム起動時など、Openswan の起動ごとに毎回パスワードの入力が必要になります。
デフォルトの SELinux セキュリティコンテンツを復元します。
~]# restorecon -Rv /etc/ipsec.d
Openswan が提供する ipsec デーモンを起動するには、root で以下のコマンドを実行します。
~]# service ipsec start
ipsec_setup: Starting Openswan IPsec U2.6.32/K2.6.32-358.el6.x86_64...
システム起動時に Openswan も起動するようにするには、root で以下のコマンドを実行します。
~]# chkconfig ipsec on
中間およびホストベースのファイアウォールが ipsec サービスを許可するように設定します。ファイアウォールおよび特定サービスの通過を許可することについての詳細情報は、「Netfilter と IPTables」 を参照してください。Openswan の使用には、以下のパケットがファイアウォールを通過できるようにしておく必要があります。
  • Internet Key Exchange (IKE) プロトコル用に UDP ポート 500
  • IKE NAT-Traversal 用に UDP ポート 4500
  • Encapsulated Security Payload (ESP) IPsec パケット用に プロトコル 50
  • Authenticated Header (AH) IPsec パケット用にプロトコル 51 (まれ)
Openswan を使って IPsec VPN を設定する例を 3 つ紹介します。ひとつ目は、2 つのホストを接続してセキュアな通信ができるようにします。2 つ目は、2 つのサイトを接続して 1 つのネットワークを形成します。3 つ目は、このコンテキストでは ロードウォリアー と呼ばれるローミングユーザーをサポートします。