Конфигурация Racoon Roadwarrior

Конфигурация Racoon Roadwarrior

Сценарий Roadwarrior

Roadwarrior — это клиент, который использует неизвестные, динамически назначенные IP-адреса для подключения к VPN-шлюзу (в данном случае также и к брандмауэру). Эта ситуация показана на рисунке 1.1 и является одним из самых интересных и сегодня наиболее необходимых сценариев в бизнес-среде. Вот некоторые причины, почему это так:

• Клиентом может быть любой компьютер (с любым назначенным IP-адресом), который имеет доступ в Интернет и может инициировать подключение к VPN-шлюзу.
• При подключении к VPN-сети клиенту назначается внутренний IP-адрес в сети, к которой он подключается, что создает впечатление, что он напрямую подключен к VPN-сети, вместо того чтобы подключаться через туннелирование через Интернет.
• Когда назначается внутренний IP-адрес, администрирование сети становится проще.
• Трафик защищен на маршруте от клиента к VPN-шлюзу.
• При подключении клиент не имеет прямого доступа в Интернет, потому что трафик маршрутизируется через VPN-сеть и брандмауэр (VPN-шлюз).

Конфигурация Racoon roadwarrior

В сочетании с racoon сценарий roadwarrior представляет несколько проблем:

• IP-адрес клиента неизвестен и не может быть определен в конфигурационном файле racoon.conf или в файле ключей PSK. Поэтому необходим другой способ аутентификации клиента.
• Невозможно определить SP, в соответствии с которым racoon на шлюзе будет вести себя, потому что адрес назначения клиента неизвестен. Racoon должен создавать любые необходимые SP или SA, когда инициируется подключение.

На рисунке показан сценарий roadwarrior, смоделированный локальной сетью 192.168.112.0/24, внутри которой находится компьютер 192.168.112.131, а сеть подключена к Интернету через VPN-шлюз (также брандмауэр) с публичным IP-адресом 192.168.111.129 (адрес к локальной сети — 192.168.112.202). Интернет смоделирован сетью 192.168.111.0/24, содержащей два компьютера помимо VPN-шлюза. Эти компьютеры — клиент roadwarrior (IP-адрес 192.168.111.203) и другой компьютер, подключенный к Интернету, который не зависит от этого сценария roadwarrior (192.168.111.3). Чтобы достичь сценария roadwarrior, необходимо настроить компьютеры, от которых зависит это подключение.