strongswan

Роль Ansible для strongSwan

Роль Ansible для настройки strongSwan поддерживает Arch Linux, RHEL/CentOS и Debian/Ubuntu.

Требования

Этот модуль в данный момент работает только на Arch, если вы установите пакет через AUR и используете UFW для управления брандмауэром, который исправлен для поддержки GRE туннелей. Это необходимо решить, прежде чем роль сможет быть выпущена публично и/или добавлена в Ansible Galaxy.

Может потребоваться версия strongSwan >= 5.0.0. Это еще не подтверждено.

Переменные роли

strongswan_packages:
  - strongswan

Текущий список пакетов для установки. На данный момент это специфично для Arch Linux.

strongswan_conn_default:
  auto: add
  type: tunnel
  authby: psk
  keyexchange: ike
  ikelifetime: 3h
  lifetime: 60m
  margintime: 15m
  keyingtries: 3
  dpdaction: restart
  dpddelay: 30

Текущие параметры по умолчанию для соединения %default. Большинство этих значений следуют типичным настройкам для strongSwan (приблизительно для версии ~5.0.0).

strongswan_conn: []
# - name: connection_name
#   conn:
#     # параметры соединения здесь, например:
#     ike: aes256gcm16-modp2048!
#     esp: aes256gcm16-modp2048!
#   left:
#     address: local_address
#     # дополнительные параметры для левой стороны здесь
#   right:
#     address: remote_address
#     # дополнительные параметры для правой стороны здесь
#   secret: abcde...z

Информация о соединении, которую нужно установить в strongSwan.

Пример плейбука

- hosts: ipsec_server
  roles:
     - { role: jonathanio.strongswan, tags: ['ipsec'] }

---
strongswan_hosts:
  - name: example
    conn:
      auto: route
      type: tunnel
      authby: psk
      keyexchange: ikev2
      lifetime: 3h
      ike: aes256gcm16-modp2048!
      esp: aes256gcm16-modp2048!
      ikelifetime: 24h
    left:
      address: 0.0.0.0/0
      subnet: 192.168.100.0/24
      protoport: 47
      id: my
      updown: /usr/lib/ipsec/_updown_nat
    right:
      address: 87.65.43.21
      subnet: 192.168.101.0/24
      protoport: 47
      id: your
      updown: /usr/lib/ipsec/_updown_nat
    secret: что-то_должно_быть_здесь

Лицензия

GPLv2

Информация об авторе

Джонатан Урайт.

О проекте

Role to configure strongSwan IPSec service

Установить
ansible-galaxy install jsecchiero/ansible-role-strongswan
Лицензия
gpl-2.0
Загрузки
1939
Владелец
10x lazineer