相同子网上亚马逊EC2实例之间的Linux IPSec

Question

我需要保护亚马逊EC2上Linux实例之间的所有通信安全--我们需要将EC2网络视为已被破坏的网络，因此希望保护EC2子网内正在传输的数据(S)。要保护的实例都将位于同一个子网上。我是一个Windows，Linux能力有限，所以我熟悉IPSec术语，可以在Linux上找到我的方法，但在设置Linux IPSec环境方面却没有线索。

有人能告诉我一些关于在子网上所有(Linux)主机之间设置IPSec的信息吗？我只能找到与站点对站点的连接，或者主机到主机的连接相关的信息，而没有涵盖所有Lan通信的信息。如果这有帮助的话，我们目前正在使用OpenSwan进行站点对站点的VPN。

更新了更多信息

这是一个示例配置(使用预共享键在两个主机之间连接非常基本)：

    conn test
    type=tunnel
    auto=start
    authby=secret
    left=10.0.2.4
    right=10.0.2.5
    pfs=yes

如果我现在想保护4台主机(或8,10,100等)之间的所有通信量，是否有一种方法可以使左参数和右参数更通用，因此它们意味着“加密所有主机之间的通信”，而不是必须显式地指定左和右主机。

我的目标是实现没有硬编码主机IP的通用配置(子网可以)，这样我们就可以将配置包括在EC2映像中。

谢谢米克

Answer 1

简而言之，在子网上运行主机之间的隧道应该没有任何问题，而不是将路由添加到端点后面的网络中，而是必须添加主机路由(/32)。

关于如何设置站点到站点隧道的通用指南可能有用：使用Debian/Ubuntu和Openswan构建站点间VPN

我个人会使用OpenVPN，因为它的性质要简单得多，但是如果需要IPSec，则必须使用OpenSwan。