Ansible strongSwan ロール

strongSwanの設定のためのAnsibleロールで、Arch Linux、RHEL/CentOS、Debian/Ubuntuをサポートします。

要件

現時点では、このモジュールはArchのみで機能し、AURからパッケージをインストールし、UFWでファイアウォールを管理し、GREトンネルをサポートするようパッチを適用する必要があります。この問題は、ロールが公開される前、またはAnsible Galaxyに追加される前に解決する必要があります。

strongSwanのバージョンが>= 5.0.0である必要があるかもしれませんが、これはまだ確認されていません。

ロール変数

strongswan_packages:
  - strongswan

インストールするパッケージの現在のリストです。現時点ではArch Linux特有です。

strongswan_conn_default:
  auto: add
  type: tunnel
  authby: psk
  keyexchange: ike
  ikelifetime: 3h
  lifetime: 60m
  margintime: 15m
  keyingtries: 3
  dpdaction: restart
  dpddelay: 30

現在%default接続に設定されているデフォルトです。これらの多くは、strongSwanの典型的なデフォルトに従っています（バージョンは約5.0.0のようです）。

strongswan_conn: []
# - name: connection_name
#   conn:
#     # 接続オプションをここに記述します。例：
#     ike: aes256gcm16-modp2048!
#     esp: aes256gcm16-modp2048!
#   left:
#     address: local_address
#     # さらなる左側のオプション
#   right:
#     address: remote_address
#     # さらなる右側のオプション
#   secret: abcde...z

strongSwanにインストールする接続情報です。

例のプレイブック

- hosts: ipsec_server
  roles:
     - { role: jonathanio.strongswan, tags: ['ipsec'] }

---
strongswan_hosts:
  - name: example
    conn:
      auto: route
      type: tunnel
      authby: psk
      keyexchange: ikev2
      lifetime: 3h
      ike: aes256gcm16-modp2048!
      esp: aes256gcm16-modp2048!
      ikelifetime: 24h
    left:
      address: 0.0.0.0/0
      subnet: 192.168.100.0/24
      protoport: 47
      id: my
      updown: /usr/lib/ipsec/_updown_nat
    right:
      address: 87.65.43.21
      subnet: 192.168.101.0/24
      protoport: 47
      id: your
      updown: /usr/lib/ipsec/_updown_nat
    secret: something_needs_to_go_here

ライセンス

GPLv2

著者情報

ジョナサン・ライト