Какой клиент для подключения к VPN запустить внутри linux openvz-контейнера?

Question

DmitryKoterov @DmitryKoterov

Какой клиент для подключения к VPN запустить внутри linux openvz-контейнера?

Подскажите, пожалуйста, как с linux-машины (openvz-контейнера) с IP-адресом a.a.a.a установить VPN-подключение к «другой стороне», если «та сторона» сообщила следующие параметры:

Наша внешняя точка — IP x.x.x.x
security ike proposal isakmp-policy authentication-method pre-shared-keys
security ike proposal isakmp-policy dh-group group2
security ike proposal isakmp-policy authentication-algorithm sha1
security ike proposal isakmp-policy encryption-algorithm 3des-cbc
security ike proposal isakmp-policy lifetime-seconds 3600
security ike policy ipsec mode main
security ike policy ipsec proposal-set standard
security ike policy ipsec pre-shared-key ascii-text
KEY yyyyyyyyyyy
Политики доступа a.a.a.a/32 -> b.b.b.b/32

Конечная цель — получить через этот VPN доступ с a.a.a.a до b.b.b.b. Я смотрел разные VPN-клиенты, один из них — vpnc, но там конфиг примерно выглядит вот так:

# cat /etc/vpnc/default.conf
IPSec gateway x.x.x.x
IPSEC ID ???
IPSec secret ???
Xauth username ???
Xauth password ???

Непонятно, то ли vpnc вообще не подходит для такого рода подключений, то ли там нужен какой-то другой конфиг, то ли еще что-то. Еще «та сторона» говорит, что нужен полноценный «site-to-site VPN», но почему именно и в чем разница — информации нет.

Подскажите, пожалуйста, как подключиться, имея эту информацию?

Вопрос задан более трёх лет назад
3825 просмотров

Комментировать

Подписаться 3 Оценить Комментировать

Пригласить эксперта

Ответы на вопрос 1

3 комментария

dgeliko @dgeliko

/etc/ipsec.conf

    config setup
    klipsdebug=none
    plutodebug=none
    interfaces="ipsec0=eth0" (заменить на свою сетевую)
    protostack=klips (либо netkey - смотря что позволяет ваш контейнер)
    nat_traversal=no
    dumpdir=/tmp/
    plutostderrlog=/var/log/ipsec.log

conn block
    auto=ignore

conn private
    auto=ignore

conn private-or-clear
    auto=ignore

conn clear-or-private
    auto=ignore

conn clear
    auto=ignore

conn packetdefault
    auto=ignore

conn connection
    left=your_ip
    leftsubnet=you_ip_network(hosts)
    right= x.x.x.x
    rightsubnet= a.a.a.a/32 b.b.b.b/32 (либо по конфигурации добавить rightnexthop - смотреть надо их топологию)
    keylife=3600s
    authby=secret
    pfs=yes
    keyingtries=0
    auto=start

Остальные параметры будут по дефолту согласованы системами. Если нет — то смотреть лог и добавлять что нужны.
Также в /etc/ipsec.secrets прописать PSK в таком виде:

x.x.x.x y.y.y.y : PSK "Preved_medved!"

И обязательно оставить после PSK пустую строку, иначе будут валиться ошибки.

Написано более трёх лет назад

DmitryKoterov @DmitryKoterov Автор вопроса

Спасибо. А в openvz-контейнере он будет работать? И — нужно ли для него патчить ядро?

Написано более трёх лет назад
dgeliko @dgeliko

Смотря какое ядро и какой дистрибутив. Есть как успешные случаи работы, так и неудачные. Смотря какие патчи наложены на ядро.

Написано более трёх лет назад