5.15.3. 使用 nmstatectl 配置带有 PSK 身份验证和隧道模式的主机到子网 IPSec VPN

流程

1. 安装所需的软件包：

   # dnf install nmstate libreswan NetworkManager-libreswan

2. 重启 NetworkManager 服务：

   # systemctl restart NetworkManager

3. 如果 Libreswan 已安装，请删除其旧的数据库文件，并重新创建它们：

   # systemctl stop ipsec
   # rm /var/lib/ipsec/nss/*db
   # ipsec initnss

4. 启用 ipsec 服务，来在引导时自动启动：

   # systemctl enable --now ipsec

5. 创建一个包含以下内容的 YAML 文件，如 ~/create-pks-authentication.yml ：

   ---
   interfaces:
   - name: 'example_ipsec_conn1'           

   1

   
     type: ipsec
     ipv4:
       enabled: true
       dhcp: true
     libreswan:
       ipsec-interface: 'no'               

   2

   
       right: '192.0.2.150'                

   3

   
       rightid: 'remote-host.example.org'  

   4

   
       left: '192.0.2.250'                 

   5

   
       leftid: 'local-host.example.org'    

   6

   
       psk: "example_password"
       ikev2: 'insist'                     

   7

   YAML 文件定义以下设置：

   1

   IPsec 连接名称

   2

   设置 no 值表示 libreswan 只创建 xfrm 策略，而不是虚拟 xfrm 接口

   3

   远程主机的公共网络接口的静态 IPv4 地址

   4

   远程主机的可分辨名称(DN)

   5

   本地主机的公共网络接口的静态 IPv4 地址

   6

   本地主机的可分辨名称(DN)

   7

   insist 值只接受并接收互联网密钥交换(IKEv2)协议

6. 将设置应用到系统：

   # nmstatectl apply ~/create-pks-authentication.yml

7. 如果您在带有 DHCP 或无状态地址自动配置(SLAAC)的网络中使用此主机，则连接可能很容易被重定向。有关详情和缓解步骤，请参阅 将 VPN 连接分配给专用路由表，以防止连接绕过隧道。

验证

1. 显示网络接口的 IP 设置：

   # ip addr show <device_name>

2. 验证 IPsec 状态：

   # ip xfrm state

3. 验证 IPsec 策略：

   # ip xfrm policy