Что это такое?

Это настройка IPsec.

Зачем это нужно?

Для безопасной передачи пакетов IP (целиком со всеми заголовками) между сегментами корпоративной сети через сеть общего пользования.

Особенности туннеля IPsec и требования для его создания:

• По туннелю передаются любые IP-пакеты.
• Для построения туннеля необходимо иметь согласованный адресный план корпоративной сети.
• С точки зрения протокола, обе стороны туннеля формально равноправны. На практике, однако, преобладают решения типа "один сервер — много клиентов" или, по крайней мере, туннели "точка-точка" с заранее известным распределением ролей "вызывающая — отвечающая сторона".
• Статический адрес необходим, как минимум, для отвечающей стороны (сервера).
• В сети общего пользования на пути между двумя сторонами туннеля может использоваться NAT (как Source NAT/Masqerading на стороне вызывающего шлюза IPsec, так и Destination NAT на стороне отвечающего шлюза). Однако при этом необходима поддержка дополнительных механизмов IPsec и дополнительные особенности настройки.

Как это настроить?

Реализация IPsec в NSG Linux 2.1 основана на проекте OpenSWAN и следует методике, принятой в нём. Параметры, содержащиеся внутри узла .tunnel.ipsec, соответствуют наиболее употребительным записям конфигурационных файлов ipsec.conf и ipsec.secrets. В случае необходимости, можно использовать также любые другие настройки, предусмотренные в этих файлах, создавая их в узлах extra-options.

Формат настроек IPsec в решениях для ОС Linux имеет одну особенность по сравнению с другими реализациями. Он ориентирован преимущественно на симметричные соединения "точка-точка". При этом, чтобы облегчить работу администратора, было предложено составить по возможности универсальные файлы конфигурации, пригодные для обеих сторон туннеля, и просто копировать их с одного устройства на другое. Конфигурационные файлы составляются по возможности симметричными по отношению к обеим сторонам, и две стороны соединения в них именуются не "локальной" и "удалённой", а "левой" и "правой". При этом конфигурация заведомо содержит информацию, избыточную либо для одного, либо для другого устройства; каждое устройство самостоятельно выбирает, какая часть настроек — левая или правая — относится к нему, исходя из параметров других своих компонент (IP-адресов интерфейсов и т.п.).

Хотя выгода такого подхода представляется неочевидной, а в некоторых случаях он принципиально невозможен, и хотя большинство практических инсталляций, как уже сказано выше, имеет функционально асимметричный характер "клиент-сервер", в NSG Linux 2.1 он сохранён для единообразия с другими Linux-решениями. Для большей ясности администратору рекомендуется принять для своей системы некоторое постоянное распределение ролей, например, всегда считать, что Левое устройство — кЛиент, пРавое — сеРвеР (либо всегда наоборот). Это поможет уменьшить число человеческих ошибок. Кроме того, этот принцип следует держать в уме при чтении документации по настройке OpenSWAN, поскольку некоторые рекомендации, приводимые в man pages и других инструкциях, следуют исключительно из него.

В любом случае, принципиальную роль для настройки IPsec (равно как и любой другой системы) играет факт существования того или иного параметра, а не его название в конкретной реализации. Для удобства пользователя, ниже приведена таблица соответствия основных параметров IPsec в NSG Linux 2.1 и в Cisco-подобном командном языке.

Настройки IPsec включает в себя следующие этапы:

1. Общая настройка службы IPsec. Включает в себя некоторые фундаментальные параметры, такие как поддержка NAT Traversal (NAT–T). Как правило, для большинства задач подходят настройки по умолчанию. В терминах настройки IPsec в Linux, это параметры общей части файла ipsec.conf.
2. Настройка секретов для создания безопасной ассоциации (Security Association). Секретами могут быть симметричный ключ (PSK), асимметричная пара ключей RSA, либо пара ключей RSA, подтверждённая сертификатами X.509. В терминах настройки IPsec в Linux, это файл ipsec.secrets. Это информация для взаимной аутентификации сторон, не передаваемая по сети — именно по этой причине она вынесена в Linux в отдельный файл.
3. Настройка туннелей, которые могут создаваться в рамках безопасной ассоциации. В терминах настройки IPsec в Linux, это параметры разделов conn файла ipsec.conf. Этой информацией стороны обмениваются друг с другом при создании туннеля.

IPsec — это самый сложный, капризный и геморройный в настройке из всех туннелей. Настройка IPsec имеет ряд особенностей, вкратце описанных ниже:

Общие сведения о технологии IPsec
IPsec и адресный план сети
IPsec и NAT на транзитных устройствах
IPsec и фильтрация пакетов
IPsec и локальный NAT
Принудительный рестарт IPsec при изменении или рестрате канала связи
Особенности реализации IPsec в устройствах Cisco Systems
Соответствие настроек Linux и Cisco
Особенности настройки IPsec в NSG Linux 1.0
Особенности настройки IPsec в продуктах Майкрософт
Особенности настройки IPsec в дистрибутивах Linux на основе Debian/Ubuntu

Подробнее см. справку по вложенным узлам, а также man pages по файлам ipsec.conf, ipsec.secrets.

Что делать, если это не работает?

1. Проверить взаимную доступность шлюзов через сеть общего пользования.
2. Убедиться, что используемые адреса, протоколы и порты UDP не заблокированы фильтрами.
3. Включить службу syslog. Бóльшая часть отладки IPsec выводится в этот журнал.
4. Смотреть фактический файл конфигурации IPsec, сформированный на основе ваших настроек, и журнал работы данной службы.
5. Смотреть состояние туннелей IPsec и текущую таблицу маршрутизации. В таблице должен быть маршрут в удалённый сегмент защищённой сети.