linux - AH のみの Linux IPSec トランスポート モード

Question

パブリック VPS プロバイダーを使用して Web アプリ インフラストラクチャをホストすることを計画しています。VPS ホストのプライベート ネットワークは、ホストされているすべての VPS からアクセス可能であり、多くのインフラストラクチャ コンポーネントにはアクセス制御/認証がまったくないため、自分の VPS を他の VPS から分離し、自分の VPS だけが相互に接続できるようにする必要があります。彼ら自身。また、これはオーバーヘッドをできるだけ少なくして透過的に行う必要があります。プライバシーと暗号化は必要ありません。

AH と共有シークレットのみを使用した IPsec でこれを実行できることがわかりましたが、そのようなセットアップが任意の数のホスト/VPS で機能するようにしたいと考えています。仮想ネットワークで考えられるすべてのペアに対して共有シークレットを定義したくありません。仮想ネットワークは、共有シークレットを知っているすべての VPS/ホストに拡張する必要があります。

これは、Linux カーネルの現在の IPSec 実装で実行できますか?

ウェブ上のチュートリアル/ハウツーへのリンクは本当に役に立ちます!!

Answer 1

AH は推奨されておらず、最新の実装ではサポートされていない可能性があるため、トランスポート モードで ESP を調べてください。

AH と同様に、認証のみと NULL 暗号化で ESP を使用できます。

• http://www.unixwiz.net/techtips/iguide-ipsec.html
• http://www.networksorcery.com/enp/protocol/esp.htm

IPSec 構成を確立するには、IPSec-tools を参照してください: http://ipsec-tools.sourceforge.net/ - 「setkey」コマンドを使用して、SAD と SPD を操作します。

• http://www.nbi.dk/cgi-bin/man2html?8+setkey
• http://www.ipsec-howto.org/x304.html

"-E null" (RFC 2410) は null 暗号化を提供します。「-A please」で希望の認証を設定します。すべての着信および発信トラフィックをカバーする範囲ポリシーを指定できます。