Что это такое?

Это настройка данного туннеля IPsec.

Зачем это нужно?

Для безопасной передачи трафика при помощи этого туннеля.

Как это настроить?

Настройка туннелей IPsec в NSG Linux выполняется в стиле Openswan, т.е. не "локальное/удалённое", а "левое/правое" устройства. Какое из устройств является локальным, какое удалённым — определяется автоматически по конфигурации данного устройства. Такая настройка отчасти избыточна, поскольку часть параметров актуальна только для одного или для другого устройства, но зато она может быть одинаковой на обеих сторонах и не требует написания зеркальной конфигурации для другой стороны.

Все параметры туннеля можно разделить на несколько функциональных групп:

Характеристики SA.

Следующие параметры определяют SA, в рамках которой будет создаваться туннель:

• Способ аутентификации — authby.
• Реквизиты для аутентификации:
  • В случае аутентификации по PSK — идентификаторы обеих сторон (leftid/rightid).
  • В случае аутентификации по ключам RSA — идентификаторы обеих сторон (leftid/rightid) и открытые ключи (leftrsasigkey/rightrsasigkey). Свой идентификатор служит указателем, по которому подбирается свой закрытый ключ в узле secrets. Открытый ключ удалённой стороны нужен для её аутентификации. Остальные 2 параметра из 4 перечисленных не используются.
  • В случае аутентификации по ключам RSA с сертификатами X.509 — идентификаторы обеих сторон (leftid/rightid), составленные специальным образом, и сертификаты сторон (leftcert/rightcert). Свой идентификатор служит указателем, по которому подбирается свой закрытый ключ в узле secrets. Свой сертификат посылается удалённой стороне, чужой не используется (да его и не должно быть на локальной машине). Чужой идентификатор сверяется с содержимым присланного сертификата. В полях leftrsasigkey/rightrsasigkey указывается специальное значение %cert, из этих двух параметров используется только чужой. Помимо перечисленного, необходимо положить корневой сертификат в директорию /etc/ipsec.d/cacerts/.

  ПРИМЕЧАНИЕ. В зависимости от выбранного способа аутентификации и от реализации IPsec на обеих сторонах туннеля, могут требоваться определённые сочетания значений вышеперечисленных параметров, или, наоборот, некоторые сочетания могут быть недопустимыми. Подробнее см. справку по этим параметрам и по узлу secrets.

• Время жизни созданной безопасной ассоциации — ikelifetime. В терминах стандартов IPsec это ISAKMP lifetime.

  ПРИМЕЧАНИЕ. Время жизни SA не тождественно времени жизни туннеля в рамках SA (IPsec lifetime). Это две настройки, различные по существу, и они устанавливаются разными параметрами.
  В частности, время жизни SA может быть даже меньше, чем время жизни туннеля; в этом случае по истечении ISAKMP lifetime SA удаляется, но туннель продолжает работать столько, сколько ему положено. По истечении IPsec lifetime туннель начинает пересогласовываться, что, в свою очередь, приводит к переустановлению сначала SA, а затем — собственно туннеля.

Описание приватных сетей и трафика между ними.

• Параметры leftsubnet/rightsubnet в совокупности характеризуют трафик, который должен быть направлен в туннель с одной и с другой стороны (по IP-адресам источника и назначения).

  ВНИМАНИЕ! По существу технологии IPsec предполагается, что левая и правая (или локальная и удалённая) сети есть независимые подсети IP и не пересекаются по IP-адресам ни друг с другом, ни с публичной сетью. В противном случае результаты могут быть непредсказуемыми, в зависимости от особенностей реализации IPsec на обеих сторонах.

• Дополнительно к отбору пакетов по IP-адресам, реализация IPsec в NSG Linux допускает проверку по протоколам 4 уровня. Параметры для указания протоколов в данной версии NSG Linux не предусмотрены явным образом, но могут быть заданы, в случае необходимости, через поле extra-options.
• IP-адреса приватных интерфейсов обоих устройств (leftsourceip/rightsourceip, по существу используется только свой параметр). Эти параметры необходимы для автоматической настройки маршрутизации при создании туннеля.

Характеристики собственно туннеля.

• IP-адреса публичных интерфейсов обоих устройств (left/right).
• Адреса ближайших шлюзов для обеих машин (leftnexthop/rightnexthop). Из двух параметров используется только свой.
• Режим PFS (Perfect Forward Security).
• Список допустимых алгоритмов защиты данных — узел esp.
• Срок жизни ключа туннеля (keylife), в терминах стандартов IPsec — IPsec lifetime.
• Действия с данным туннелем при старте IPsec (auto).
• Настройки механизма Dead Peer Detection (dpddelay, dpdtimeout).

Что делать, если это не работает?

1. Проверить взаимную доступность шлюзов через сеть общего пользования.
2. Убедиться, что используемые адреса, протоколы и порты UDP не заблокированы фильтрами.
3. Включить службу syslog. Бóльшая часть отладки IPsec выводится в этот журнал.
4. Смотреть фактический файл конфигурации IPsec, сформированный на основе ваших настроек, и журнал работы данной службы.
5. Смотреть состояние туннелей IPsec и текущую таблицу маршрутизации. В таблице должен быть маршрут в удалённый сегмент защищённой сети.