Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.6.4. Libreswan을 사용하여 사이트 간 VPN 구성

Libreswan 에서 사이트 간 IPsec VPN을 만들기 위해 두 개의 호스트 사이에 IPsec 터널이 생성됩니다. 이 터널은 하나 이상의 서브넷에서 통과할 트래픽을 허용하도록 구성된 끝점입니다. 따라서 네트워크의 원격 부분에 대한 게이트웨이라고 간주할 수 있습니다. 사이트 간 VPN 구성은 하나 이상의 네트워크 또는 서브넷을 구성 파일에 지정해야 한다는 점에서 호스트 간 VPN과만 다릅니다.
사이트 간 IPsec VPN을 생성하도록 Libreswan 을 구성하려면 먼저 4.6.3절. “Libreswan을 사용하여 호스트-호스트 VPN 만들기” 에 설명된 대로 호스트 간 IPsec VPN을 구성한 다음 해당 파일을 적절한 이름으로 복사하거나 /etc/ipsec.d/my_site-to-site.conf 와 같은 파일로 복사합니다. root 로 실행되는 편집기를 사용하여 다음과 같이 사용자 지정 설정 파일 /etc/ipsec.d/my_site-to-site.conf 를 편집합니다. 
conn mysubnet
    also=mytunnel
    leftsubnet=192.0.1.0/24
    rightsubnet=192.0.2.0/24
    auto=start

conn mysubnet6
    also=mytunnel
    connaddrfamily=ipv6
    leftsubnet=2001:db8:0:1::/64
    rightsubnet=2001:db8:0:2::/64
    auto=start

conn mytunnel
    leftid=@west.example.com
    left=192.1.2.23
    leftrsasigkey=0sAQOrlo+hOafUZDlCQmXFrje/oZm [...] W2n417C/4urYHQkCvuIQ==
    rightid=@east.example.com
    right=192.1.2.45
    rightrsasigkey=0sAQO3fwC6nSSGgt64DWiYZzuHbc4 [...] D/v8t5YTQ==
    authby=rsasig
터널을 작동시키려면 Libreswan 을 다시 시작하거나 수동으로 로드하고 다음 명령을 사용하여 root 로 모든 연결을 시작합니다. 
~]# ipsec auto --add mysubnet
~]# ipsec auto --add mysubnet6
~]# ipsec auto --up mysubnet
104 "mysubnet" #1: STATE_MAIN_I1: initiate
003 "mysubnet" #1: received Vendor ID payload [Dead Peer Detection]
003 "mytunnel" #1: received Vendor ID payload [FRAGMENTATION]
106 "mysubnet" #1: STATE_MAIN_I2: sent MI2, expecting MR2
108 "mysubnet" #1: STATE_MAIN_I3: sent MI3, expecting MR3
003 "mysubnet" #1: received Vendor ID payload [CAN-IKEv2]
004 "mysubnet" #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_RSA_SIG cipher=aes_128 prf=oakley_sha group=modp2048}
117 "mysubnet" #2: STATE_QUICK_I1: initiate
004 "mysubnet" #2: STATE_QUICK_I2: sent QI2, IPsec SA established tunnel mode {ESP=>0x9414a615 <0x1a8eb4ef xfrm=AES_128-HMAC_SHA1 NATOA=none NATD=none DPD=none}
~]# ipsec auto --up mysubnet6
003 "mytunnel" #1: received Vendor ID payload [FRAGMENTATION]
117 "mysubnet" #2: STATE_QUICK_I1: initiate
004 "mysubnet" #2: STATE_QUICK_I2: sent QI2, IPsec SA established tunnel mode {ESP=>0x06fe2099 <0x75eaa862 xfrm=AES_128-HMAC_SHA1 NATOA=none NATD=none DPD=none}

4.6.4.1. Libreswan을 사용하여 사이트 간 VPN 확인

VPN 터널을 통해 패킷이 전송되는지 확인하는 작업은 4.6.3.1절. “Libreswan을 사용하여 호스트-호스트 VPN 확인” 에 설명된 절차와 동일합니다.