第6章 IPsec VPN のセットアップ
Libreswan は、Internet Protocol Security (IPsec) プロトコルスイートの実装です。Libreswan を使用すると、インターネットなどの信頼できないネットワーク上にセキュアで暗号化されたトンネルを確立する仮想プライベートネットワーク (VPN) を設定できます。このようなトンネルにより、転送中のデータの機密性と整合性が確保されます。一般的なユースケースとしては、支社を本社に接続したり、リモートユーザーに企業ネットワークへのセキュアなアクセスを提供したりすることが挙げられます。
RHEL では、次のようにさまざまな方法で Libreswan を設定できます。
- Libreswan 設定ファイルを手動で編集して、高度なオプションを細かく制御する
-
vpn
RHEL システムロールを使用して、Libreswan VPN 設定の作成プロセスを自動化する。 - Nmstate を使用して、宣言型 API を通じて Libreswan 接続を設定する。
Libreswan では、"クライアント" や "サーバー" などの用語は使用しません。代わりに、IPsec ではエンドポイントを "left (左)" と "right (右)" で表します。Libreswan がどちらの役割を担うかを動的に決定するため、この設計により、多くの場合、両方のホストで同じ設定を使用できるようになります。慣例として、管理者は通常、ローカルホストの場合は "left"、リモートホストの場合は "right" を使用します。
Libreswan は、RHEL でサポートされている唯一の VPN テクノロジーです。
IPsec は、Internet Key Exchange (IKE) などの標準化されたプロトコルを利用して、さまざまなシステム間の効率的な通信を実現します。ただし、実際には、ベンダーがこれらの標準を実装する方法がわずかに違うため、互換性の問題が発生する可能性があります。Libreswan をサードパーティーの IPsec ピアに接続する際に、このような相互運用性の問題が発生した場合は、Red Hat サポート にお問い合わせください。
6.1. IPsec VPN のコンポーネント リンクのコピーリンクがクリップボードにコピーされました!
IPsec VPN のセットアップには、次の主なコンポーネントが関係します。
-
Internet Key Exchange (IKE): 2 つのエンドポイントが、このプロトコルを使用して相互に認証し、使用する暗号化アルゴリズムを含む接続のルールをネゴシエートします。Libreswan は、
pluto
と呼ばれるデーモンで IKE プロトコルを実装します。 - IPsec: IKE ネゴシエーション中に合意されたポリシーに従って、実際にデータを暗号化して転送するプロトコルの部分。Linux カーネルは IPsec プロトコルスイートを実装しています。