Kirjoittaja Aihe: OpenVPN ja pelkkä host-to-host tunneli, RATKAISTU vaihtamalla IPSeciin  (Luettu 1510 kertaa)

obi-lan

  • Käyttäjä
  • Viestejä: 41
    • Profiili
Mulla on tällä hetkellä kaksi palvelinta, molemmilla julkinen staattinen IP ja tarve siirtää näiden kahden palvelinten välillä tavaraa, lähinnä salaamatonta tietokantaliikennettä, salatusti. Tulevaisuudessa palvelimia tulee olemaan useampia, kaikki on tarkoitus laittaa julkisen IP päähän ja kaikki ottavat keskitetysti yhteyttä yhteen palvelimeen.

Olen conffaillut OpenVPN ja sertifikaattirakenteen, jotta saan palvelimet käynnistämään tunnelin automaattisesti ja jos joku palvelimissa varastetaan yms niin voin revokata tämän sertin pois käytöstä. Homma on muuten hallussa, mutta en keksi miten kertoisin reitit openvpn:lle? Ja haluan nimenomaan tunneloida pelkästä palvelimesta itsestään lähtevän, toiseen palvelimeen itseensä suuntautuvan liikenteen ja näissä molemmissa palvelimissa on samalla OpenVPN päätepisteet.
« Viimeksi muokattu: 13.06.11 - klo:12.17 kirjoittanut obi-lan »

obi-lan

  • Käyttäjä
  • Viestejä: 41
    • Profiili
Vs: OpenVPN ja pelkkä host-to-host tunneli
« Vastaus #1 : 13.06.11 - klo:12.15 »
Eipä taida onnistua OpenVPN:llä, pitäisi bridgettää interfacet, mutta sitten tajunnut kuinka iptables suhtautuu siihen.

Mutta homma onnistuu IPSec tunnelilla, eli OpenSwanilla. Tämän ohjeen: http://wiki.openswan.org/index.php/Openswan/Tutorial mukaan värkkäsin. IPSec ei tee interfaceja, vaan kun tavara menee tunnelia pitkin niin se näyttää palvelimella B, että tarvara tulee palvelimen A julkisesta ip osoitteesta palvelimen B julkiseen ip osoitteeseen. Tän kanssa piti hetki miettiä, miten saan iptablesin sallimaan salatun liikenteen, muttei salaamatonta. Tällä säännöllä sallitaan kaikki liikenne IPSec tunnelista:

-A INPUT --match policy --pol ipsec --dir in -j ACCEPT

Ja muuten laittaa DROP, paitsi tietty IPSec tunnelin itsensä:

-A INPUT -p 50 -j ACCEPT
-A INPUT -p udp -m udp --dport 500 -j ACCEPT

Jos näistä olisi apua jollekulle muullekin.

cbz

  • Käyttäjä
  • Viestejä: 66
    • Profiili
Kiitokset selvitystyöstä. Uskon, että tästä on jolleen jotain apua.