Cấu hình VPN Gateway với OpenSwan như thế nào?

Bài hướng dẫn này sẽ hướng dẫn bạn cấu hình OpenSwan làm VPN Gateway. VPN Gateway sau đó có thể được dùng để kết nối với VPN Gateway của Cloud Servers VINADATA. Và như vậy bạn đã có một mạng riêng ảo an toàn để sử dụng.

Cấu hình đơn giản cho gateway với phần mềm openswan trên hệ điều hành ubuntu

#Cài đặt gói openswan
apt-get install openswan

#Cấu hình cho phép kernel IP packet forward
echo “net.ipv4.ip_forward = 1” |  tee -a /etc/sysctl.conf
echo “net.ipv4.conf.all.accept_redirects = 0” |  tee -a /etc/sysctl.conf
echo “net.ipv4.conf.all.send_redirects = 0” |  tee -a /etc/sysctl.conf
echo “net.ipv4.conf.default.secure_redirects = 0” |  tee -a /etc/sysctl.conf
echo “net.ipv4.conf.default.send_redirects = 0” |  tee -a /etc/sysctl.conf
sysctl -p

Cấu hình Openswan (IPSEC)
Chỉnh sửa file sau:
/etc/ipsec.conf

conn vpn
              type=tunnel
              authby=secret
               keyexchange=ike
               ikelifetime=60m
               keylife=30m
               pfs=yes
               ike=3des;modp1536
               auth=esp
               phase2alg=3des;modp1536
               left=49.213.126.204
               leftid=49.213.126.204
               leftsubnet=10.10.10.0/24
               leftnexthop=49.213.126.193
              # Right security gateway, subnet behind it, nexthop toward left.
               right=61.28.226.250
               rightid=61.28.226.250
               rightsubnet=172.16.20.0/24
               rightnexthop=61.28.226.1

Trong đó left sẽ là các thông số thuộc local ví dụ như left là ip của gateway, leftsubnet là private subnet của local. Phần liên quan right sẽ thuộc về remote gateway (VPN Gateway của Cloud Servers). Ví dụ như right là ip remote gateway, rightsubnet sẽ là private subnet của remove gateway. 

Cấu hình file shared secret:
               /etc/ipsec.secrets
               61.28.226.249  %any:   PSK “S3FEH9RbpraY”
               61.28.226.249 là ip của gateway.
S3FEH9RbpraY là pre-shared key, phần này cần giống với Pre-Shared Key (PSK) string với VPN Site-to-Site đã config với Cloud Servers. 

Kiểm tra cấu hình ipsec
ipsec verify

Start service
service ipsec start

Tại các máy trong mạng private cần thêm route cần thiết để các máy giữa 2 bên gateway có thể liên lạc với nhau:
              route add -net 172.16.20.0 netmask 255.255.255.0 gw 10.10.10.1

Bên mạng Cloud Servers còn lại cần add route ngược lại.
             route add -net 10.10.10.0 netmask 255.255.255.0 gw 172.16.20.1

Với 10.10.10.1 là ip range private của bạn, và mạng 172.16.20.0/24 là lớp mạng private bên Cloud Servers.