5.4. ホスト間の VPN の作成

手順

1. 各ホストで Raw RSA 鍵ペアを生成します。

   # ipsec newhostkey

   Copy to Clipboard Toggle word wrap

2. 前の手順で生成した鍵の ckaid を返します。左 で次のコマンドを実行して、その ckaid を使用します。以下に例を示します。

   # ipsec showhostkey --left --ckaid 2d3ea57b61c9419dfd6cf43a1eb6cb306c0e857d

   Copy to Clipboard Toggle word wrap

   上のコマンドの出力により、設定に必要な leftrsasigkey= 行が生成されます。次のホスト (右) でも同じ操作を行います。

   # ipsec showhostkey --right --ckaid a9e1f6ce9ecd3608c24e8f701318383f41798f03

   Copy to Clipboard Toggle word wrap

3. /etc/ipsec.d/ ディレクトリーで、新しい my_host-to-host.conf ファイルを作成します。上の手順の ipsec showhostkey コマンドの出力から、RSA ホストの鍵を新規ファイルに書き込みます。以下に例を示します。

   conn mytunnel
       leftid=@west
       left=192.1.2.23
       leftrsasigkey=0sAQOrlo+hOafUZDlCQmXFrje/oZm [...] W2n417C/4urYHQkCvuIQ==
       rightid=@east
       right=192.1.2.45
       rightrsasigkey=0sAQO3fwC6nSSGgt64DWiYZzuHbc4 [...] D/v8t5YTQ==
       authby=rsasig

   Copy to Clipboard Toggle word wrap

4. 鍵をインポートしたら、ipsec サービスを再起動します。

   # systemctl restart ipsec

   Copy to Clipboard Toggle word wrap

5. 接続を読み込みます。

   # ipsec auto --add mytunnel

   Copy to Clipboard Toggle word wrap

6. トンネルを確立します。

   # ipsec auto --up mytunnel

   Copy to Clipboard Toggle word wrap

7. ipsec サービスの開始時に自動的にトンネルを開始するには、以下の行を接続定義に追加します。

   auto=start

   Copy to Clipboard Toggle word wrap
8. DHCP またはステートレスアドレス自動設定 (SLAAC) が設定されたネットワークでこのホストを使用すると、接続がリダイレクトされる危険性があります。詳細と軽減策は、接続がトンネルを回避しないように VPN 接続を専用ルーティングテーブルに割り当てる を参照してください。