Общее описание решения strongSwan

Введение в strongSwan

Этот документ предоставляет новым пользователям возможность ознакомиться с программным обеспечением strongSwan (а тем, кто уже пользуется им – освежить свои знания).

Предварительные требования

Предполагается, что читатель этого документа

  • понимает принципы работы сетей – от настройки IP-адресов и DNS-серверов до настройки простого брандмауэра;

  • владеет основами аутентификации на базе криптографии с открытым ключом и инфраструктуры открытых ключей (Public Key Infrastructure – PKI);

  • знает, как устанавливать бинарные программные пакеты и компилировать исходный код по инструкции;

  • уверенно пользуется командной строкой.

Если вы не владеете данными навыками, существуют готовые решения, предоставляющие возможности удалённого доступа по IPsec.

Защита сети

strongSwan – это полноценное IPsec-решение, обеспечивающее шифрование и аутентификацию для серверов и клиентов. strongSwan можно использовать для обеспечения защищенной связи с удалёнными сетями, при этом удалённое подключение становится таким же безопасным, как локальное.

Сетевая топология: шлюзы moon и sun

Шлюз

Шлюзом обычно является ваш брандмауэр, но им может быть и любой хост внутри вашей сети. Часто шлюз также может обслуживать небольшую сеть через протокол динамической настройки узла (Dynamic Host Configuration Protocol, или DHCP) и систему доменных имён (Domain Name System, или DNS). На изображении выше хосты moon и sun выступают в роли шлюзов для внутренних хостов alice, venus и bob соответственно.

Удалённый доступ / Клиенты-«скитальцы» (Roadwarrior Clients)

Roadwarrior Clients – это мобильные пользователи, которые постоянно находятся в разъездах и подключаются удалённо к вашей домашней сети через шлюз с ноутбука или через другие мобильные устройства. На изображении выше carol и dave представляют клиентов-roadwarrior, которые хотят получить доступ к какой-либо из двух сетей между двумя шлюзами.

Удалённые хосты / Host-to-Host (Соединение между узлами)

Это может быть удалённый веб-сервер или система резервного копирования. На изображении это хост winnetou и один из шлюзов – moon или sun. Соединение между двумя хостами обычно может инициироваться любым из них.

Удалённые локации/ Site-to-Site (Соединение между локациями)

Хосты, находящиеся в двух или нескольких подсетях, расположенных в разных местах, должны иметь возможность взаимного доступа. Как показано на изображении выше, две подсети 10.1.0.0/16 и 10.2.0.0/24, расположенные соответственно за шлюзами moon и sun, могут взаимодействовать таким образом, чтобы, например, хосты alice и bob могли безопасно обмениваться данными.

На нашем сайте вы найдёте десятки полноценных примеров конфигураций, охватывающих эти и похожие сценарии.

Следующая страница: Детальная архитектура strongSwan.