linux - 使用 Libreswan 在 AWS 上配置多个 VPN IPSec 隧道之间的路由

Question

我已在 AWS 上部署了运行 Libreswan 3.23-5 的 RHEL 7.5 虚拟机。我已成功设置了从我的虚拟机到其他 6 个组织的多个 IPSec 隧道。我们希望实现的是中心辐射设置，其中每个组织只需要一个到 AWS(我的 VPN 虚拟机)的 VPN 隧道，并且应该能够通过中心的 IPSec 隧道与其他 6 个组织进行通信 (AMQP)。我已成功让他们 ping 我的子网，但我希望他们能够 ping 其他组织的子网。这是我在conf 文件中为每个连接设置的内容还是通过路由表设置的内容？目前，ipsec.d 目录下的配置文件仅包含 leftsunet 行中我的子网，而不包含其他组织。

conn hub-to-spoke1
    type=tunnel
    authby=secret
    left=%defaultroute
    leftid=hub.public.ip.address
    leftnexthop=%defaultroute
    leftsubnets=hub.subnets.cidr.blocks
    right=spoke1.public.ip.address
    rightsubnet=spoke1.subnet.cidr.block
    pfs=yes
    auto=add
    ikelifetime=24h
    keylife=8h
    ike=aes256-sha1;modp1536
    phase2=esp
    phase2alg=aes256-sha1;modp1024

我们正在使用预共享 key 。我需要进行哪些配置才能将连接转发到其他组织？每个组织必须做什么才能允许其他 6 个组织通过一条隧道进行连接？我非常感谢任何帮助，因为这是我第一次涉足网络。

Answer 1

通过将辐条的私有(private)子网添加到中心的左子网，我能够成功连接合作伙伴，并且每个合作伙伴都应该将彼此的私有(private)合作伙伴子网作为右子网。您还必须将合作伙伴的子网添加到 AWS 控制台中的路由表中。以下是集线器的示例配置文件:

conn hub-to-spoke
    type=tunnel
    authby=secret
    left=%defaultroute
    leftid=hub.public.ip.address
    leftnexthop=%defaultroute
    leftsubnets="all hub subnets and all other spokes subnets"
    right=spoke.public.ip.address
    rightsubnets="all spoke subnets"
    pfs=yes
    auto=add
    ikelifetime=24h
    keylife=8h
    ike=aes256-sha1;modp1536
    phase2=esp
    phase2alg=aes256-sha1;modp1024

这里是辐条的示例配置

conn spoke-to-hub
    type=tunnel
    authby=secret
    left=%defaultroute
    leftid=spoke.public.ip.address
    leftnexthop=%defaultroute
    leftsubnets="spoke's subnets"
    right=hub.public.ip.address
    rightsubnet="list of hub's subnets and other spokes subnets"
    pfs=yes
    auto=add
    ikelifetime=24h
    keylife=8h
    ike=aes256-sha1;modp1536
    phase2=esp
    phase2alg=aes256-sha1;modp1024

您必须确保没有私有(private)子网重叠。