我正在尝试在我的家庭networking和我的办公networking之间build立一个IPsec网桥。 我想用StrongSwan来encryptionIPsec的stream量
我正在尝试遵循本指南
networking简介:
办公室networking有3台机器连接到一个便宜的D-link路由器,其中2个是Linux机箱,应该可以从IPsecnetworking访问。 另一台机器是Windows,不应该看到任何IPsecstream量
家庭networking有两台机器,一台是linux,它应该可以访问和从IPsecnetworking访问。 另一台机器是windows,不应该看到任何IPsecstream量
我不知道该怎么做,但是我现在有三个高度关注的问题:
1)首先是一个普遍的问题; 假设它可能和实际的安排在互联网之外的秘密预先分享(在这种情况下)是手动设置密钥一般比设置IKE或IKEv2更安全?
2)我已经读了一些关于子网划分的内容,根据我对strongswan文档的解释,我应该设置一个站点到站点的networking,但是我不确定我应该在哪里寻找右/左/ rightsubnet / leftsubnet ip和掩码来configurationipsec。 编辑为了更确切地说,我看着ifconfig输出,并试图决定如何翻译这个configurationrightsubnet / leftsubnet。 什么机器构成网关? 有任何想法吗? 对不起,如果这个问题是非常微不足道的
3)在真实networking中部署任何设置之前,我想使用virtualbox机器在家中testingIPsecnetworking。 这会工作吗? 我需要多less虚拟机来制作一个真实的场景?
谢谢你的耐心
(顺便说一下,我还没有足够的声望来创build“strongswan”标签,如果有人创build了它,我很乐意用它来更新这个post)
下面是解释什么是leftsubnet和什么是rightsubnet的图表:
Left_computer(192.168.0.2/24)<—>(192.168.0.1/24)Left_ipsec_gateway(Some_left_public_ip)<—> INTERNET <—>(Some_right_public_ip)Right_ipsec_gateway(192.168.1.1/24)<— >(192.168.1.2/24)Right_computer
左边的子网是192.168.0.0/24,右边的子网是192.168.1.0/24。
对于Left_computer(192.168.0.2/24),您必须指定Left_ipsec_gateway(192.168.0.1/24)作为Right_subnet(192.168.1.0/24)的网关。 通常默认路由已经为你自动完成了。 你必须为正确的子网做同样的事情。 这就是为什么我把运行StrongSwan的计算机称为“IPsec网关”的原因。
希望这可以帮助。 Strongswan有图表wiki,你可能想看看。