moriya9n.github.io

View My GitHub Profile


kindle 本ベストセラー

みんなのFX

18 July 2018

firewall の内側にある strongswan への接続

by moriya9n

firewall の内側のネットワークへの IKEv2 接続

さて、firewall の内側のネットワークに IKEv2 で接続できるのであろうか。

前提とする構成

IPSEC では、最初に、500/udp でローカルとリモートのアドレスを交換して、NAT かどうか判断し、 NAT 環境下であれば、以後、4500/udp にカプセル化してやりとりしているようである。

したがって、Firewall でなくブロードバンドルータであれば、500/udp、4500/udp を strongswan に 転送すれば、IKEv2 でブロードバンドルータ内のネットワークに接続できそうだ。

firewall のように自分でコントロールしづらい場合は以下のように構成することで可能だろう。

OPENVPNトンネルでIKEV2を転送

  1. firewall の外側に、IKEv2 を転送するためのサーバを置く。見かけ上、IKEv2 のサーバに見える。この転送サーバと firewall の内側にある strongswan サーバの間を、openvpn で接続する。
  2. 転送サーバでは、500/udp と 4500/udp を strongswan に転送する。(NATする)

centos 7 での転送設定例(strongswan 側のトンネルの IP アドレスを10.1.0.2にした場合):

# firewall-cmd --permanent --add-port 500/udp
# firewall-cmd --permanent --add-port 4500/udp
# firewall-cmd --permanent --add-masquerade
# firewall-cmd --permanent --add-forward-port=500:proto=udp:toaddr=10.1.0.2
# firewall-cmd --permanent --add-forward-port=4500:proto=udp:toaddr=10.1.0.2
# firewall-cmd --reload

openvpn を挙げているのは、http と https ぐらいしか通さないような厳しい firewall があるかもしれないため。 また、udp を転送するのに都合が良いため。

関連記事

tags: