[Cloud] IPsec VPN 연결 (Libreswan 사용)

Libreswan 설치

           $ sudo yum install -y libreswan

           $ sudo vi /etc/sysctl.conf             // sysctl.conf 파일에 아래 내용 입력

net.ipv4.ip_forward=1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 net.ipv4.conf.ens3.send_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.ens3.accept_redirects = 0 net.ipv4.conf.all.rp_filter = 0 net.ipv4.conf.default.rp_filter = 0 net.ipv4.conf.ens3.rp_filter = 0

 

           $ sudo sysctl -p

 

            문제 발생시

               $ sudo systemctl restart network

                           >> 오류가 났을 경우

                           $ sudo vi /etc/sysconfig/network-scripts/ifcfg-ens3

                           ONBOOT = yes -> no 로 수정

                           $ sudo systemctl restart network

       

            $ sudo vi /etc/ipsec.conf              //아래 내용 없을 시 맨 아래에 작성

                       include /etc/ipsec.d/*.conf

 

OCI console

 

1. CPE생성

           Public IP Address : <Libreswan 설치한 VM public IP>

           VENDOR : Libreswan

 

2. VCN Wizard로 VCN/DRG/IPsec/tunnel 생성

 

   2-1. VCN 이름 지정, CPE 선택

   2-2. IPSec Connection 생성

                      이름 설정

                      Routing Type : Static Routing          

                      마지막에 On-prem CIDR 입력

                      터널 정보 이름, 시크릿만 입력

          

           Tunnel 1

                       NAME : oci-tunnel-1

                       SHARED SECRET : 클라우드1

                       IKE VERSION : IKEv2

           Tunnel 2

                       NAME : oci-tunnel-2

                       SHARED SECRET : 클라우드2

                       IKE VERSION : IKEv2

   2-3. VCN CIDR 정하고, DRG, Internet Gateway 생성

   2-4. Subnet 생성

 

6. OCI_VCN에서 Public-Subnet의 Security-List에 Add Ingress Rules

Source CIDR	IP Protocol	Port
0.0.0.0/0	TCP	500
0.0.0.0/0	TCP	4500
0.0.0.0/0	UDP	500
0.0.0.0/0	UDP	4500
0.0.0.0/0	ICMP	All

           

Libreswan VM

1.

          $ sudo vi /etc/ipsec.d/oci.conf       //아래 내용 자신의 IP에 맞게 입력         

conn oci-tunnel-1      authby=secret      auto=start      leftid=152.67.199.238       # VM Public IP      left=10.0.1.3         # VM Private IP      leftsubnet=10.0.0.0/16      right=140.204.64.42      #OCI_VCN IPSecVPN IP Address      rightsubnet=192.168.0.0/16      vti-interface=vti1      vti-routing=no      mark=5/0xffffffff # Needs to be unique across all tunnels         conn oci-tunnel-2      authby=secret      auto=start      leftid=152.67.199.238       #VM Public IP      left=10.0.1.3         #VM Private IP      leftsubnet=10.0.0.0/16      right=140.204.64.33      #OCI_VCN IPSecVPN IP Address 2      rightsubnet=192.168.0.0/16      vti-interface=vti2      vti-routing=no      mark=6/0xffffffff # Needs to be unique across all tunnels

 

2.

           $ sudo vi /etc/ipsec.d/oci.secrets               //아래 내용 수정해서 입력

#[VM Public IP] [IPsecVPN IP]  :  PSK  "Shared Key" 152.67.199.238 140.204.64.42 : PSK "zmffkdnem1" 152.67.199.238 140.204.64.33 : PSK "zmffkdnem2"

 

3.

           $ sudo systemctl start ipsec

           $ ifconfig          //하면 vti interface가 붙은 것을 확인할 수 있습니다.

 

2~3분 이후에 OCI 콘솔에서도 IPsec이 UP으로 뜬 것을 확인할 수 있습니다.

 

 

4. 

           $ sudo ip route add <OCI VCN CIDR> nexthop dev vti1 nexthop dev vti2

           $ sudo ip route show

 

5. On-prem VM 과 OCI-VM1 양방향 ping 테스트

           $ ping <private ip> -c 5