Red Hat Training

A Red Hat training course is available for RHEL 8

4.3. 创建主机到主机的 VPN

要将 Libreswan 配置为在两个主机(称为 )之间创建一个主机到主机的 IPsec VPN,请在两台主机上输入以下命令:

流程

  1. 在每个主机上生成 RSA 密钥对:

    # ipsec newhostkey --output /etc/ipsec.d/hostkey.secrets
  2. 上一步返回生成的密钥's ckaid。将该 ckaid左面的以下命令一起使用,例如:

    # ipsec showhostkey --left --ckaid 2d3ea57b61c9419dfd6cf43a1eb6cb306c0e857d

    上一命令的输出生成了配置所需的 leftrsasigkey= 行。在第二主机上执行相同的操作(右侧):

    # ipsec showhostkey --right --ckaid a9e1f6ce9ecd3608c24e8f701318383f41798f03
  3. /etc/ipsec.d/ 目录中,创建一个新的 my_host-to-host.conf 文件。将上一步中 ipsec showhostkey 命令的输出中的 RSA 主机密钥写入新文件。例如:

    conn mytunnel
        leftid=@west
        left=192.1.2.23
        leftrsasigkey=0sAQOrlo+hOafUZDlCQmXFrje/oZm [...] W2n417C/4urYHQkCvuIQ==
        rightid=@east
        right=192.1.2.45
        rightrsasigkey=0sAQO3fwC6nSSGgt64DWiYZzuHbc4 [...] D/v8t5YTQ==
        authby=rsasig
  4. 导入密钥后,重启 ipsec 服务:

    # systemctl restart ipsec
  5. 启动 Libreswan

    # ipsec setup start
  6. 加载连接:

    # ipsec auto --add mytunnel
  7. 建立隧道:

    # ipsec auto --up mytunnel
  8. 要在 ipsec 服务启动时自动启动隧道,请在连接定义中添加以下行:

    auto=start