1

У меня есть два выделенных сервера, которые я настроил так, чтобы им требовались AH и ESP между их (общедоступными) IP-адресами и использованием racoon, который я настроил isakmp. Туннель IPsec между ними работает хорошо - я вижу, что весь трафик между ними зашифрован (то есть tcpdump показывает только заголовки AH и ESP независимо от того, какой трафик я посылаю между ними).

Теперь я немного параноик, что в какой-то момент что-то может произойти, и служба setkey, которая настраивает мою политику безопасности, может оказаться на обоих серверах. Или, возможно, что-то происходит, и кто-то сбрасывает политику безопасности. И тогда весь мой трафик между серверами будет зашифрован неделями или месяцами, прежде чем кто-то (надеюсь) заметит.

Вопрос: Что я могу сделать, чтобы трафик между этими двумя серверами не работал в незашифрованном виде?

Мое нерешительное решение: один из способов, которым я думал об этом, было назначить каждому из них частный IP-адрес (скажем, 192.168.0.1 и 192.168.0.2 для простоты), а затем иметь все мои приложения, которым нужно общаться с другим сервер использует эти частные IP-адреса, а не публичные IP-адреса, а затем делает так, чтобы эти частные IP-адреса могли маршрутизироваться только при включенном туннеле IPsec.

Вопросы: это реальный способ сделать это? Нужна ли мне GRE? Или я могу сделать это с помощью простого «ip route add 192.168.0.2/32 через [public ip 2] dev eth0» (с сервера 1)? Это необходимо? Какой лучший способ сделать это?

1 ответ1

1

Простейшим способом было бы установить брандмауэр (на серверах или в пути), который блокирует любой трафик, предназначенный для другого сервера, который не является протоколом 50 (ESP) или UDP/500 (ISAKMP). Непонятно, зачем тебе АГ, наверное, нет.

При этом использование частной адресации всегда целесообразно для частных служб, хотя использование маршрутизации не является механизмом безопасности.

В вашей конфигурации IPSEC у вас должно быть две настройки, связанные с трафиком, один будет шлюзом (который в каждом случае будет другим сервером), а другому будет разрешен трафик через VPN, известный как заинтересованный трафик. В настоящее время это публичные адреса ваших серверов, и вы изменили бы их на свои личные адреса.

Для маршрутизации трафика вам просто нужно вытолкнуть его из правильного интерфейса, он будет соответствовать интересующим правилам трафика в конфигурации IPSEC, зашифрован и отправлен на шлюз (другой сервер).

Так что этого должно быть достаточно:

ip route add 192.168.0.2/32 dev eth0

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .