Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.7.4. Openswan を使った VPN 設定

Openswan では、ソース宛先 といった用語を使用しません。代わりに、エンドポイント (ホスト) に向かって および という用語を使用します。これにより、ほとんどのケースで両方のエンドポイントで同じ設定が使えるようになります。ただし、ほとんどの管理者はローカルホストにを、リモートホストにを使用します。キーワードに といった言葉が含まれるものは任意のものです。これは文字通り、左は使用するネットワーク図の左にあるホスト、と解釈することができます。Openswan は、またはを自動で検出します。例では、Openswan コマンドが と呼んでいるホストに、合致するホスト名が与えられます。通常、およびに合致するよう、それぞれ西およびがホスト名に使用されます。本ガイドでは、west.example.comに、east.example.comに使用します。
エンドポイントの認証には、3 つの一般的な方法が使用されます。
  • 事前共有鍵 (PSK) は、最もシンプルな認証方法です。PSK は任意の 20 以上の文字で構成されます。PSK が任意でなくかつ短いものになる危険があることから、システムが FIPS モードで稼働している際は、この方法は利用できません。
  • 生 RSA 鍵は、静的なホスト間またはサブネット間で一般的に使用される IPsec 設定です。ホストは、それぞれの公開 RSA 鍵で手動で設定されます。この方法は、12 以上のホストで相互に IPsec トンネルを設定する必要がある場合には、うまく拡張できません。
  • X.509 certificates は、共通の IPsec ゲートウェイに接続する必要のあるホストが多くある、大型の導入案件でよく使用されます。ホストまたはユーザーの RSA 証明書の署名には、中央 認証機関 (CA) が使用されます。この中央 CA は、個別ホストまたはユーザーの取り消しを含む信頼の中継を担当します。