Accesso ad altri cloud con Libreswan

1. Utilizzando la console o le API AWS, creare una VM Libreswan utilizzando il relativo processo di provisioning. Come sistema operativo principale, utilizzare Oracle Linux, CentOS o Red Hat.

2. Dopo l'avvio della nuova istanza, connettersi ad essa con SSH e installare il pacchetto Libreswan:

   sudo yum -y install libreswan

3. Nella console AWS, disabilitare i controlli di origine e destinazione sull'istanza VM Libreswan facendo clic con il pulsante destro del mouse sull'istanza, facendo clic su Networking e quindi su Modifica origine/destinazione. Seleziona. Quando richiesto, fare clic su Sì, Disabilita.

   

4. Nella VM Libreswan, configurare IP_forward per consentire ai client AWS di inviare e ricevere traffico tramite la VM Libreswan. Nel file /etc/sysctl.conf, impostare i seguenti valori e applicare gli aggiornamenti con sudo sysctl -p.

   net.ipv4.ip_forward=1
   net.ipv4.conf.all.accept_redirects = 0
   net.ipv4.conf.all.send_redirects = 0
   net.ipv4.conf.default.send_redirects = 0
   net.ipv4.conf.eth0.send_redirects = 0
   net.ipv4.conf.default.accept_redirects = 0
   net.ipv4.conf.eth0.accept_redirects = 0

5. Nella console AWS, modificare la tabella di instradamento AWS. Aggiungere una regola con il CIDR VCN (172.0.0.0/16) come destinazione e l'ID istanza AWS Libreswan (i-016ab864b43cb368e in questo esempio) come destinazione.

   

6. Nella console AWS, abilitare il traffico TCP e UDP in entrata sulle porte 4500 e 500 per consentire una connessione IPSec Oracle Cloud Infrastructure Site-to-Site VPN con la VM AWS Libreswan. Questo task include la modifica sia dei gruppi di sicurezza AWS che delle ACL di rete. È possibile impostare il valore di origine può essere l'IP pubblico Oracle (endpoint tunnel IPSec headend Oracle VPN) anziché 0.0.0.0/0.

   Per i gruppi di sicurezza:

   

   Per le ACL di rete:

   

1. Nella console Oracle, creare un oggetto CPE (Customer-premise Equipment) che punti all'indirizzo IP pubblico dell'istanza AWS Libreswan (34.200.255.174). A tale scopo, è possibile utilizzare l'applicazione di supporto per la configurazione CPE.

2. Se alla VCN non è già collegato un DRG: nella console Oracle, creare un DRG, quindi collegarlo alla VCN (172.0.0.0/16).

3. Nella console Oracle, creare una connessione IPSec e indirizzarla al CIDR VPC AWS (10.0.0.0/16). In altre parole, quando si crea la connessione IPSec, impostare il relativo instradamento statico sul CIDR VPC AWS.

   Per ogni connessione IPSec configurata, Oracle crea due tunnel e assegna questi elementi a ciascuno di essi:

   • Endpoint tunnel IPSec headend VPN Oracle
   • Segreto condiviso tunnel VPN Oracle

   È possibile visualizzare lo stato del tunnel IPSec e l'IP headend VPN Oracle facendo clic sul menu Azioni per la connessione IPSec, quindi su Visualizza dettagli. Inizialmente ogni tunnel è in stato DOWN (offline) perché è ancora disponibile una configurazione aggiuntiva da eseguire in seguito sulla VM Libreswan AWS.

   Per visualizzare il segreto condiviso, fare clic sul menu Azioni per un singolo tunnel, quindi fare clic su Visualizza dettagli. Accanto a Segreto condiviso, fare clic su Mostra.

4. Nella console Oracle, modificare le regole di sicurezza della VCN per abilitare il traffico TCP e UDP in entrata sulle porte 4500 e 500 come hai fatto per i gruppi di sicurezza AWS e le ACL di rete. È possibile utilizzare l'indirizzo IP pubblico della VM AWS Libreswan anziché 0.0.0.0/0 se si tratta di un IP pubblico persistente. Aprire anche tutti i protocolli e le porte per il traffico in entrata dal CIDR VPC AWS (10.0.0.0/16). Ricorda: gli elenchi di sicurezza sono associati a una subnet, quindi modifica la lista di sicurezza associata a ogni subnet che deve comunicare con AWS VPC. In alternativa, se si utilizzano i gruppi di sicurezza di rete della VCN, modificare le regole nei gruppi NSG pertinenti.

5. Nella console Oracle, modificare le tabelle di instradamento della VCN per aggiungere una regola con il CIDR VPC AWS (10.0.0.0/16) come blocco CIDR di destinazione e il DRG creato in precedenza come destinazione. Ricorda: le tabelle di instradamento sono associate a una subnet, quindi modifica la tabella di instradamento associata a ogni subnet che deve comunicare con AWS VPC.

La configurazione di Libreswan utilizza le variabili indicate di seguito. Determinare i valori prima di procedere con la configurazione.

• ${cpeLocalIP}: l'indirizzo IP del dispositivo Libreswan.
• ${cpePublicIpAddress}: l'indirizzo IP pubblico per Libreswan. Questo è l'indirizzo IP della tua interfaccia esterna. A seconda della topologia di rete, il valore potrebbe essere diverso da ${cpeLocalIP}.
• ${oracleHeadend1}: per il primo tunnel, l'endpoint IP pubblico Oracle ottenuto dalla console Oracle.
• ${oracleHeadend2}: per il secondo tunnel, l'endpoint IP pubblico Oracle ottenuto dalla console Oracle.
• ${vti1}: il nome del primo VTI utilizzato. Ad esempio, vti1.
• ${vti2}: il nome del secondo VTI utilizzato. Ad esempio, vti2.
• ${sharedSecret1}: la chiave precondivisa per il primo tunnel. È possibile utilizzare la chiave predefinita precondivisa fornita da Oracle oppure fornire una chiave personalizzata quando si imposta la connessione IPSec nella console Oracle.
• ${sharedSecret2}: la chiave precondivisa per il secondo tunnel. È possibile utilizzare la chiave predefinita precondivisa fornita da Oracle oppure fornire una chiave personalizzata quando si imposta la connessione IPSec nella console Oracle.
• ${vcnCidrNetwork}: intervallo IP VCN.

La configurazione Libreswan usa il concetto di sinistra e destra per definire i parametri di configurazione per il dispositivo CPE locale e per il gateway remoto. Entrambi i lati della connessione (la connessione nella configurazione di Libreswan) possono essere a sinistra o a destra, ma la configurazione di tale connessione deve essere coerente. In questo esempio:

• Sinistra: CPE Libreswan locale
• Destro: il headend Oracle VPN

Utilizzare il seguente modello per il file /etc/ipsec.d/oci-ipsec.conf. Il file definisce i due tunnel creati da Oracle quando si imposta la connessione IPSec.

conn oracle-tunnel-1
     left=${cpeLocalIP}
     # leftid=${cpePublicIpAddress} # See preceding note about 1-1 NAT device
     right=${oracleHeadend1}
     authby=secret
     leftsubnet=0.0.0.0/0 
     rightsubnet=0.0.0.0/0
     auto=start
     mark=5/0xffffffff # Needs to be unique across all tunnels
     vti-interface=${vti1}
     vti-routing=no
     ikev2=no # To use IKEv2, change to ikev2=insist
     ike=aes_cbc256-sha2_384;modp1536
     phase2alg=aes_gcm256;modp1536
     encapsulation=yes
     ikelifetime=28800s
     salifetime=3600s
conn oracle-tunnel-2
     left=${cpeLocalIP}
     # leftid=${cpePublicIpAddress} # See preceding note about 1-1 NAT device
     right=${oracleHeadend2}
     authby=secret
     leftsubnet=0.0.0.0/0
     rightsubnet=0.0.0.0/0
     auto=start
     mark=6/0xffffffff # Needs to be unique across all tunnels
     vti-interface=${vti2}
     vti-routing=no
     ikev2=no # To use IKEv2, change to ikev2=insist
     ike=aes_cbc256-sha2_384;modp1536
     phase2alg=aes_gcm256;modp1536
     encapsulation=yes
     ikelifetime=28800s
     salifetime=3600s

Utilizzare il seguente modello per il file /etc/ipsec.d/oci-ipsec.secrets. Contiene due righe per connessione IPSec (una riga per tunnel).

${cpePublicIpAddress} ${ipAddress1}: PSK "${sharedSecret1}"
${cpePublicIpAddress} ${ipAddress2}: PSK "${sharedSecret2}"

Dopo aver impostato i file di configurazione e i file secret, è necessario riavviare il servizio Libreswan con il comando seguente.

service ipsec restart

Utilizzare il seguente comando ip per creare instradamenti statici che inviano traffico alla VCN tramite i tunnel IPSec. Se è stato eseguito il login con un account utente senza privilegi, potrebbe essere necessario utilizzare sudo prima del comando.

ip route add ${VcnCidrBlock} nexthop dev ${vti1} nexthop dev ${vti2}
ip route show