strongswan
Роль Ansible для strongSwan
Роль Ansible для настройки strongSwan поддерживает Arch Linux, RHEL/CentOS и Debian/Ubuntu.
Требования
Этот модуль в данный момент работает только на Arch, если вы установите пакет через AUR и используете UFW для управления брандмауэром, который исправлен для поддержки GRE туннелей. Это необходимо решить, прежде чем роль сможет быть выпущена публично и/или добавлена в Ansible Galaxy.
Может потребоваться версия strongSwan >= 5.0.0. Это еще не подтверждено.
Переменные роли
strongswan_packages:
- strongswan
Текущий список пакетов для установки. На данный момент это специфично для Arch Linux.
strongswan_conn_default:
auto: add
type: tunnel
authby: psk
keyexchange: ike
ikelifetime: 3h
lifetime: 60m
margintime: 15m
keyingtries: 3
dpdaction: restart
dpddelay: 30
Текущие параметры по умолчанию для соединения %default
. Большинство этих значений следуют типичным настройкам для strongSwan (приблизительно для версии ~5.0.0).
strongswan_conn: []
# - name: connection_name
# conn:
# # параметры соединения здесь, например:
# ike: aes256gcm16-modp2048!
# esp: aes256gcm16-modp2048!
# left:
# address: local_address
# # дополнительные параметры для левой стороны здесь
# right:
# address: remote_address
# # дополнительные параметры для правой стороны здесь
# secret: abcde...z
Информация о соединении, которую нужно установить в strongSwan.
Пример плейбука
- hosts: ipsec_server
roles:
- { role: jonathanio.strongswan, tags: ['ipsec'] }
---
strongswan_hosts:
- name: example
conn:
auto: route
type: tunnel
authby: psk
keyexchange: ikev2
lifetime: 3h
ike: aes256gcm16-modp2048!
esp: aes256gcm16-modp2048!
ikelifetime: 24h
left:
address: 0.0.0.0/0
subnet: 192.168.100.0/24
protoport: 47
id: my
updown: /usr/lib/ipsec/_updown_nat
right:
address: 87.65.43.21
subnet: 192.168.101.0/24
protoport: 47
id: your
updown: /usr/lib/ipsec/_updown_nat
secret: что-то_должно_быть_здесь
Лицензия
GPLv2
Информация об авторе
Джонатан Урайт.
ansible-galaxy install jsecchiero/ansible-role-strongswan