Site to Site VPN (PSK)

본사와 지사를 연결할 때 주로 사용되는 site to site VPN을 리눅스에서 구성 해보겠다.

토폴로지

 

leftsrv config

 

1. 일단 먼저 site-to-site vpn을 위한 패키지를 설치한다.

apt-get install strongswan

 

2. /etc/ipsec.conf 에서 VPN을 위한 설정을 한다.

/etc/ipsec.conf

conn leftsrv (연결 이름이다. 원하는 이름으로 설정한다.)

leftsubnet (내 서버의 내부 IP주소 대역을 써준다.)

right (연결할 상대방의 공인 IP주소이다.)

rightsubnet (상대방의 내부 IP주소 대역을 써준다.)

keyexchange (키 교환 방식을 지정한다.)

authby (인증 방법을 지정한다.)

auto (자동으로 연결을 시작할지 설정한다.)

 

그 외 옵션들로는

left (내 공인 IP주소)    ex) left=210.0.0.100

type (연결 유형 지정)  ex) type=tunnel

ike (암호화 유형)        ex) ike=aes256-sha1; modp2048

ikelifetime (키 유효기간) ex) ikelifetime 25000s

esp (ipsec암호화 프로토콜) ex) aes256-sha1-modp 1536 

 

등 매우 많다.

 

 

 

3. /etc/ipsec.secrets

형식 : <source-ip> <destination-ip> : PSK <사전 공유 키>

Pre-Shared-Key 한마디로 공개키 방식을 이용해서 상호 암호교환방식으로 인증을 한다는 소리이다.

사전 공유 키는 12345로 진행했다.

 

4. service strongswan restart 로 서비스를 재시작한다.

 

 

---

rightsrv config

 

설명은 생략.

/etc/ipsec.conf

 

/etc/ipsec.secrets

 

TEST!

 

leftsrv

상대의 내부 IP주소로 PING이 잘 가진다.

 

rightsrv

상대의 내부 IP주소로 PING이 잘 가진다.