2.7.7. IPsec netwerk-naar-netwerk configuratie

IPsec kan ook ingesteld worden om een geheel netwerk (zoals een LAN of WAN) te verbinden met een netwerk op afstand met gebruik van een netwerk-naar-netwerk verbinding. Een netwerk-naar-netwerk verbinding vereist het instellen van IPsec routers aan iedere kant van de verbindende netwerken voor het transparant bewerken en doorgeven van informatie van een node op een LAN naar een node op een LAN op afstand. Figuur 2.11, “Een netwerk-naar-netwerk IPsec verbinding met tunnel” laat een netwerk-naar-netwerk IPsec verbinding met tunnel zien.

Een netwerk-naar-netwerk IPsec verbinding met tunnel

Figuur 2.11. Een netwerk-naar-netwerk IPsec verbinding met tunnel

Deze illustratie laat twee aparte LAN's zien gescheiden door het Internet. Deze LAN's gebruiken IPsec routers voor authenticatie en initiatie van een verbinding met gebruik van een beveiligde tunnel door het Internet. Pakketten die in de overdracht onderschept worden zullen brute-kracht ontsleuteling vereisen om de code te kraken die de pakketten tussen deze LAN's beschermd. Het proces van communicatie van een node in de 192.168.1.0/24 IP reeks naar een andere in de 92.168.2.0/24 reeks is geheel transparant voor de nodes omdat het verwerken, versleutelen/ontsleutelen, en omleiden van de IPsec pakketten geheel afgehandeld wordt door de IPsec router.

De informatie nodig voor een netwerk-naar-netwerk verbinding omvat:

De extern toegankelijke IP adressen van de specifieke IPsec routers
De netwerk adres reeksen van de LAN/WAN bedient door de IPsec routers (zoals 192.168.1.0/24 of 10.0.1.0/24)
Het IP adres van de gateway apparaten die de data van de netwerk nodes omleiden naar het Internet
Een unieke naam, bijvoorbeeld, ipsec1. Deze wordt gebruikt om de IPsec verbinding te identificeren en te onderscheiden van andere apparaten of verbindingen.
Een vaste encryptie sleutel of een automatisch aangemaakte door racoon
Een pre-gedeelde authenticatie sleutel die gebruikt wordt tijdens de initiële fase van de verbinding en om encryptiesleutels uit te wisselen tijdens de sessie.

2.7.7.1. Netwerk-naar-netwerk (VPN) verbinding

Een netwerk-naar-netwerk IPsec verbinding gebruikt twee IPsec routers, een voor ieder netwerk, waarmee het netwerkverkeer voor de privé subnetten omgeleid wordt.

Bijvoorbeeld, zoals getoond in Figuur 2.12, “Netwerk-naar-netwerk IPsec”, als het 192.168.1.0/24 privé netwerk netwerkverkeer verstuurt naar het 192.168.2.0/24 privé netwerk, gaan de pakketten door gateway0, naar ipsec0, door het Internet, naar ipsec1, naar gateway1, en naar het 192.168.2.0/24 subnet.

IPsec routers vereisen publiek adresseerbare IP adressen en een tweede Ethernet apparaat verbonden met hun respectievelijke privé netwerken. Verkeer gaat alleen door een IPsec router als het bedoeld is voor een andere IPsec router waarmee het een versleutelde verbinding heeft.

Netwerk-naar-netwerk IPsec

Figuur 2.12. Netwerk-naar-netwerk IPsec

Alternatieve netwerk configuratie opties zijn een firewall tussen elke IP router en het Internet, en een intranet firewall tussen elke IPsec router en subnet gateway. De IPsec router en de gateway voor het subnet kunnen een systeem zijn met twee Ethernet apparaten: een met een publiek IP adres dat werkt als de IPsec router; en een met een privé IP adres dat werkt als de gateway voor het privé subnet. Iedere IPsec router kan de gateway gebruiken voor zijn privé netwerk of een publieke gateway om de pakketten naar de andere IPsec router te sturen.

Gebruik de volgende procedure om een netwerk-naar-netwerk IPsec verbinding in te stellen:

In een commando shell, type je system-config-network om het Netwerkconfiguratie gereedschap op te starten.
In de IPsec tab klik je op Nieuw om de IPsec - instellingen helper op te starten.
Klik op Vooruit om de netwerk-naar-netwerk IPsec verbinding in te stellen.
Vul een unieke naam in voor de verbinding, bijvoorbeeld, ipsec0. Indien nodig selecteer je het aanvinkhokje om de verbinding automatisch op te starten als de computer opgestart wordt. Klik op Vooruit om verder te gaan.
Selecteer Netwerk-naar-netwerk encryptie (VPN) als het connectie type, en klik dan op Vooruit.
Selecteer het type versleuteling om te gebruiken: handmatig of automatisch.
Als je handmatige encryptie kiest, moet later in het proces een encryptie sleutel opgegeven worden. Als je automatische encryptie kiest, beheert de racoon daemon de encryptie sleutel. Het ipsec-tools pakket moet geïnstalleerd zijn als je automatische encryptie wilt gebruiken.
Klik op Vooruit om verder te gaan.
Op de Lokaal netwerk pagina vul je de volgende informatie in:
- Lokaal netwerkadres — Het IP adres van het apparaat op de IPsec router verbonden met het privé netwerk.
- Lokaal subnetmasker — Het subnetmasker van het lokale netwerk IP adres.
- Lokaal netwerk gateway — De gateway voor het privé subnet.
Klik op Vooruit om verder te gaan.
Lokaal netwerk information
Figuur 2.13. Lokaal netwerk information
Op de Netwerk op afstand pagina vul je de volgende informatie in:
- IP-adres op afstand — Het publiek adresseerbare IP adres van de IPsec router voor het andere privé netwerk. In ons voorbeeld, voor ipsec0, vul je het publiek adresseerbare IP adres van ipsec1 in, en omgekeerd.
- Netwerkadres op afstand — Het netwerk adres van het privé subnet achter de andere IPsec router. In ons voorbeeld, vul je 192.168.1.0 in voor het instellen van ipsec1, en vul je 192.168.2.0 in voor het instellen van ipsec0.
- Subnetmasker op afstand — Het subnet masker van het IP adres op afstand.
- Netwerk gateway op afstand — Het IP adres van de gateway voor het netwerk adres op afstand.
- Als handmatige encryptie was geselecteerd in stap 6, specificeer je de te gebruiken encryptie sleutel of je klikt op Genereren om een aan te maken.
  Specificeer een authenticatie sleutel of klik op Genereren om een aan te maken. Deze sleutel kan een willekeurige combinatie kan cijfers en letters zijn.
Klik op Vooruit om verder te gaan.
Netwerk op afstand information
Figuur 2.14. Netwerk op afstand information
Verifieer de informatie in de IPsec — Samenvatting pagina en klik dan op Toepassen.
Selecteer Bestand => Opslaan om de instelling op te slaan.
Selecteer de IPsec verbinding in de lijst en klik dan op Activeren om de verbinding te activeren.
Zet IP forwarding aan:
1. Bewerk /etc/sysctl.conf en zet net.ipv4.ip_forward op 1.
2. Gebruik het volgende commando om de verandering aan te zetten:
```
[root@myServer ~]# /sbin/sysctl -p /etc/sysctl.conf
```

Het netwerk script om de IPsec verbinding te activeren maakt automatisch netwerkroutes om pakketten te versturen door de IPsec router indien nodig.