Cómo configurar un túnel en una red que no es de confianza

Idioma:

Este procedimiento configura un túnel IPsec en una red pública entre dos sistemas de puerta de enlace VPN de Trusted Extensions. El ejemplo que se utiliza en este procedimiento se basa en la configuración ilustrada en Descripción de la topología de red para la protección de una VPN por parte de las tareas de IPsec de Protección de la red en Oracle Solaris 11.2 .

Supongamos que se realizan las siguientes modificaciones en la ilustración:

Las 10 subredes son redes de confianza de varios niveles. Las etiquetas de seguridad de las opciones IP de CALIPSO o CIPSO se visualizan en estas LAN.
Las subredes 192.168 son redes no de confianza de una sola etiqueta que funcionan en la etiqueta PUBLIC. Estas redes no admiten las opciones IP de CALIPSO o CIPSO.
El tráfico con etiquetas entre euro-vpn y calif-vpn está protegido contra cambios no autorizados.

Antes de empezar

Debe estar con el rol de usuario root en la zona global.

Siga los procedimientos descriptos en Etiquetado de hosts y redes para definir lo siguiente:
1. Agregue las direcciones IP 10.0.0.0/8 a una plantilla de seguridad con etiquetas.
  Utilice una plantilla con un tipo de host cipso. Conserve el rango de etiquetas predeterminado, de ADMIN_LOW a ADMIN_HIGH.
2. Agregue las direcciones IP 192.168.0.0/16 a una plantilla de seguridad sin etiquetas en la etiqueta PUBLIC.
  Utilice una plantilla con un tipo de host sin etiquetas. Defina PUBLIC como la etiqueta predeterminada. Conserve el rango de etiquetas predeterminado, de ADMIN_LOW a ADMIN_HIGH.
3. Agregue las direcciones de Internet Calif-vpn y Euro-vpn, 192.168.13.213 y 192.168.116.16, a una plantilla cipso.
  Conserve el rango de etiquetas predeterminado.
Cree un túnel IPsec.
Siga el procedimiento descripto en Cómo proteger la conexión entre dos LAN con IPsec en modo de túnel de Protección de la red en Oracle Solaris 11.2 . Utilice IKE para la gestión de claves, como se describe en el siguiente paso.

Agregue etiquetas a las negociaciones IKE.

Siga el procedimiento descripto en Cómo configurar IKEv2 con claves compartidas previamente de Protección de la red en Oracle Solaris 11.2 y, luego, modifique el archivo ike/config de la siguiente manera:

Agregue las palabras clave label_aware, multi_label y wire_label none PUBLIC al archivo /etc/inet/ike/config del sistema euro-vpn.

El archivo resultante tiene el siguiente aspecto. Se resaltan las adiciones de etiquetas.

        ### ike/config file on euro-vpn, 192.168.116.16
## Global parameters
#
## Use IKE to exchange security labels.
label_aware
#
## Defaults that individual rules can override.
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
#
## The rule to communicate with calif-vpn
# Label must be unique
{ label "eurovpn-califvpn"
local_addr 192.168.116.16
remote_addr 192.168.13.213
multi_label
wire_label none PUBLIC
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
p2_pfs 5
}

Agregue las mismas palabras clave al archivo ike/config del sistema calif-vpn.

	### ike/config file on calif-vpn, 192.168.13.213
## Global Parameters
#
## Use IKE to exchange security labels.
label_aware
#
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
## The rule to communicate with euro-vpn
# Label must be unique
{ label "califvpn-eurovpn"
local_addr 192.168.13.213
remote_addr 192.168.116.16
multi_label
wire_label none PUBLIC
p1_xform
{ auth_method preshared oakley_group 5 auth_alg sha1 encr_alg aes }
p2_pfs 5
}

Notas - También puede agregar etiquetas a los sistemas que están protegidos mediante certificados. Modifique los archivos ike/config de manera similar cuando complete los procedimientos descriptos en Configuración de IKEv2 con certificados de claves públicas de Protección de la red en Oracle Solaris 11.2 .