Oracle Cloud Infrastructureドキュメント

Libreswanによるその他のクラウドへのアクセス

Libreswanは、FreeS/WANおよびOpenswanに基づいたオープン・ソースのIPSec実装です。 ほとんどのLinuxディストリビューションには、Libreswanなどが含まれます。また、インストールを容易にすることもできます。 オンプレミス・ネットワークまたはクラウド・プロバイダ・ネットワークのいずれかで、ホストにインストールできます。 このトピックでは、Oracle Cloud Infrastructure仮想クラウド・ネットワーク(VCN)を別のクラウド・プロバイダに接続する方法を説明します。これには、Libreswan VMを顧客用機器(CPE)としてIPSec VPNと一緒に使用します。

ここに示す例では、もう一方のクラウド・プロバイダはAmazon Web Services (AWS)です。 この接続は、Oracle環境とAmazon環境の間で安全かつ暗号化されたサイト間IPSec VPNです。 2つのクラウド内のリソースは、同じネットワーク・セグメント内にあるかのように、プライベートIPアドレスを使用して互いに通信できます。

「Libreswan CPEガイド」は、他のすべてのユースケースでも使用できます。

このルールベース構成の仮想トンネル・インタフェース(VTI)のサポートには、最小のLibreswanバージョン3.18と、最近のLinux 3.xまたは4.xカーネルが必要です。 この構成は、Libreswanバージョンの3.29.を使用して検証されました。

アーキテクチャ

次の図は、接続の一般的なレイアウトを示しています。

このイメージは、IPSec VPNとLibreswan CPEで接続された2つのクラウドの一般的なレイアウトを示しています。

サポートされるIPSecパラメータ

すべてのリージョンでサポートされるIPSecパラメータのベンダー固有のリストについては、「サポートされるIPSecパラメータ」を参照してください。

商用クラウドのOracle BGP ASNは、31898です。 Government Cloud用に「VPN接続」を構成する場合は、「Government CloudのVPN接続パラメータが必要」および「OracleのBGP ASN」も参照してください。

構成

重要

この項の構成手順は、Oracle Cloud Infrastructure for Libreswanで提供されています。 サポートが必要な場合は、Libreswan documentationにお問い合せください。

Libreswanは、ルーティング・ベースおよびポリシーベースのトンネルの両方をサポートします。 トンネル・タイプは、互いに干渉せずに共存できます。 Oracle VPNヘッドエンドでは、ルーティング・ベースのトンネルが使用されます。 Oracleでは、「仮想トンネル・インタフェース(VTI)の構成構文」を使用してLibreswanを構成することをお勧めします。

このドキュメントで使用される特定のパラメータの詳細は、「サポートされるIPSecパラメータ」を参照してください。

デフォルトLibreswan構成ファイル

デフォルトのLibreswanインストールでは、次のファイルが作成されます:

  • etc/ipsec.conf: Libreswan構成のルート。
  • /etc/ipsec.secrets: Libreswanがシークレットを検索するロケーションのルート(事前共有キーのトンネル)。
  • /etc/ipsec.d/: Oracle Cloud Infrastructureトンネル用に.confファイルと.secretsファイルを格納するためのディレクトリ(たとえば: oci-ipsec.confおよびoci-ipsec.secrets Libreswanは、これらのファイルをこのフォルダに作成することをお薦めします。

デフォルトのetc/ipsec.confファイルには次の行が含まれます:

include /etc/ipsec.d/*.conf

デフォルトのetc/ipsec.secretsファイルには次の行が含まれます:

include /etc/ipsec.d/*.secrets

前述の行では、/etc/ipsec.dディレクトリのすべての.confファイルと.secretsファイルが、Libreswanで使用するメイン構成ファイルとシークレット・ファイルに自動的にマージされます。

構成プロセス

タスク1: AWS Libreswanインスタンスの準備
タスク2: Oracle Cloud Infrastructure DRGおよびCPEオブジェクトの構成
タスク3: 必要な構成値を決定
タスク4: 構成ファイルの設定: /etc/ipsec.d/oci-ipsec.conf
タスク5: シークレットのファイルを設定: /etc/ipsec.d/oci-ipsec.secrets
タスク6: Libreswan構成を再起動
タスク7: IPルーティングの構成

検証

モニタリングサービス」Oracle Cloud Infrastructureからも入手可能で、クラウド・リソースを積極的にモニターします。 「VPN接続」のモニターの詳細は、「VPN接続メトリック」で入手してください。

問題がある場合は、「VPN接続のトラブルシューティング」を参照してください。

Libreswanステータスの確認

次のコマンドを使用して、Libreswanトンネルの現在の状態を確認します:

ipsec status

トンネルは、次の行を含む行が表示された場合に確立されます:

STATE_MAIN_I4: ISAKMP SA established

将来、LibreswanトンネルについてOracleを指定してサポート・チケットを開く必要がある場合は、前述のipsec statusコマンドの出力を含めます。

トンネル・インタフェースのステータスの確認

仮想トンネル・インタフェースの位置を確認するには、ifconfigコマンドまたはip link showコマンドを使用します。 また、インタフェースを使用してtcpdumpなどのアプリケーションを使用することもできます。

使用可能なVtiを示す、作業用のLibreswan実装を備えたifconfig出力の例を次に示します。

ifconfig
<output trimmed>
                 
vti01: flags=209<UP,POINTOPOINT,RUNNING,NOARP> mtu 8980
     inet6 fe80::5efe:a00:2 prefixlen 64 scopeid 0x20<link>
     tunnel txqueuelen 1000 (IPIP Tunnel)
     RX packets 0 bytes 0 (0.0 B)
     RX errors 0 dropped 0 overruns 0 frame 0
     TX packets 0 bytes 0 (0.0 B)
     TX errors 10 dropped 0 overruns 0 carrier 10 collisions 0
 
vti02: flags=209<UP,POINTOPOINT,RUNNING,NOARP> mtu 8980
     inet6 fe80::5efe:a00:2 prefixlen 64 scopeid 0x20<link>
     tunnel txqueuelen 1000 (IPIP Tunnel)
     RX packets 0 bytes 0 (0.0 B)
     RX errors 0 dropped 0 overruns 0 frame 0
     TX packets 0 bytes 0 (0.0 B)
     TX errors 40 dropped 0 overruns 0 carrier 40 collisions 0

次に、ip link show出力の例を示します:

ip link show
<output trimmed>
 
9: vti01@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 8980 qdisc noqueue
state UNKNOWN mode DEFAULT group default qlen 1000
   link/ipip 10.1.2.3 peer 129.146.12.51
 
10: vti02@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 8980 qdisc noqueue
state UNKNOWN mode DEFAULT group default qlen 1000
   link/ipip 10.1.2.3 peer 129.146.13.49

また、Oracle コンソールでは、各IPSecトンネルはUP状態になっています。