日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
Linux下安裝OpenSWan

OpenSWan是linux選Ipsec及I2tp協(xié)議的一個(gè)不錯(cuò)的實(shí)現(xiàn)方案。他支持和ipsec相關(guān)的大多數(shù)的擴(kuò)展(RFC+IETF drafts)。Openswan項(xiàng)目起源于FreeS/WAN 2.04項(xiàng)目,該項(xiàng)目的功能很強(qiáng)大,可以很大程度上保證數(shù)據(jù)在跨網(wǎng)傳輸中的安全性、完整性,特別是通過(guò)它,餓哦沒(méi)可以很好地實(shí)現(xiàn)跨機(jī)房或異地辦公場(chǎng)所實(shí)現(xiàn)局域網(wǎng)互聯(lián)解決方案,如果和openvpn工具配合,可以實(shí)現(xiàn)將注入門(mén)戶網(wǎng)站的多機(jī)房互訪及vpn的各種強(qiáng)大解決方案。

創(chuàng)新互聯(lián)建站是一家專注于成都做網(wǎng)站、成都網(wǎng)站建設(shè)與策劃設(shè)計(jì),易門(mén)網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)建站做網(wǎng)站,專注于網(wǎng)站建設(shè)十載,網(wǎng)設(shè)計(jì)領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:易門(mén)等地區(qū)。易門(mén)做網(wǎng)站價(jià)格咨詢:18982081108

系統(tǒng)環(huán)境

本文使用VMWare建立五臺(tái)虛擬Linux主機(jī)來(lái)進(jìn)行試驗(yàn)。操作系統(tǒng): CentOS 4.4內(nèi)核版本:2.6.9-42主機(jī)網(wǎng)絡(luò)參數(shù)設(shè)置: 如無(wú)特殊說(shuō)明,子網(wǎng)掩碼均為255.255.255.0

主機(jī)名 網(wǎng)卡eth0 網(wǎng)卡eth1 默認(rèn)網(wǎng)關(guān) 用途
LServer 192.168.1.103 192.168.2.1 192.168.1.1 Left網(wǎng)關(guān)
RServer 192.168.1.104 192.168.3.1 192.168.1.1 Right網(wǎng)關(guān)
LClient 192.168.1.113 192.168.2.2 192.168.2.1 Left客戶機(jī)
RClient 192.168.1.114 192.168.3.2 192.168.3.1 Right客戶機(jī)
Laptop 192.168.1.105 192.168.1.1 Laptop客戶機(jī)

安裝設(shè)置操作系統(tǒng)

推薦使用CentOS 4.4,基于RedHat Enterprise AS 4.4安全加強(qiáng)的免費(fèi)可升級(jí)獨(dú)立分發(fā)版本Linux操作系統(tǒng),安裝過(guò)程不再詳述。需要注意的是,安裝時(shí)請(qǐng)確保選中開(kāi)發(fā)軟件包,以及l(fā)ibgmp軟件包 (gmp、gmp-devel)、gawk、flex、bison。以下步驟只需在LServer、RServer及Laptop上執(zhí)行。系統(tǒng)按前述參數(shù)安裝完畢后在LServer、RServer執(zhí)行以下命令:

sysctl -a | egrep “ipv4.*(accept|send)_redirects” | awk -F “=” ‘{print $1″= 0″}’ >> /etc/sysctl.conf

編輯/etc/sysctl.conf

vi /etc/sysctl.conf

將下面兩項(xiàng):

net.ipv4.ip_forward = 0 net.ipv4.conf.default.rp_filter = 1

改為:

net.ipv4.ip_forward = 1 net.ipv4.conf.default.rp_filter = 0

執(zhí)行以下命令使設(shè)置生效:

sysctl -p

在LServer上執(zhí)行以下命令設(shè)置NAT:

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.2.0/24 -d ! 192.168.3.0/24 -j MASQUERADE

在RServer上執(zhí)行以下命令設(shè)置NAT:

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.3.0/24 -d ! 192.168.2.0/24 -j MASQUERADE

四、安裝OpenSWan\1. 下載源碼包

cd ~ wget http://www.openswan.org/download/openswan-2.4.7.tar.gz

\2. 解壓源碼包

tar zxvf openswan-2.4.7.tar.gz

\3. 安裝UserLand

cd openswan-2.4.7 make programs make install

\4. 安裝KLIPS IPstack (可選,如果用26sec則不需安裝)1)安裝NAT-Traversal內(nèi)核補(bǔ)丁export KERNELSRC=/usr/src/kernels/2.6.9-42.EL-i686make nattpatch > /usr/src/openswan-ipsec-natt.patchcd $KERNELSRCcat /usr/src/openswan-ipsec-natt.patch | patch -p1 -smake cleanmake oldconfig當(dāng)執(zhí)行make oldconfig命令時(shí),由于添加了Nat-t補(bǔ)丁,會(huì)出現(xiàn)以下提示:IPSEC NAT-Traversal (KLIPS compatible) (IPSEC_NAT_TRAVERSAL) [N/y/?] (NEW)按y鍵確認(rèn)后繼續(xù)完成make oldconfig命令繼續(xù)執(zhí)行以下命令重新編譯安裝內(nèi)核makemake modules_installmake install編譯安裝完成新內(nèi)核后請(qǐng)重啟系統(tǒng),以啟用新內(nèi)核 2)安裝KLIPS

cd ~/openswan-2.4.7 make KERNELSRC=/lib/modules/uname -r/build module minstall depmod -a

加載KLIPS模塊前必須先卸載NETKEY模塊

rmmod xfrmuser af_key esp4 ah4 ipcomp xfrm4_tunnel

執(zhí)行以下命令加載KLIPS

modprobe ipsec

\5. 驗(yàn)證安裝執(zhí)行下面的命令驗(yàn)證OpenSWan是否正確安裝

ipsec –version

如果程序正確安裝,此命令將顯示以下三種可能結(jié)果:如果已加載的IPsec stack是NETKEY,顯示如下

Linux Openswan U2.4.7/K2.6.9-42.EL (netkey) See `ipsec –copyright’ for copyright information.

如果已加載的IPsec stack是KLIPS,顯示如下

Linux Openswan 2.4.7 (klips) See `ipsec –copyright’ for copyright information.

如果沒(méi)有加載任何IPsec stack,顯示如下

Linux Openswan U2.4.7/K(no kernel code presently loaded) See `ipsec –copyright’ for copyright information.

\6. 特別說(shuō)明如果系統(tǒng)中NETKEY、KLIPS模塊同時(shí)存在,OpenSWan按以下規(guī)則加載其一:通常情況下,OpenSWan啟動(dòng)時(shí)使用已經(jīng)加載的模塊;如果NETKEY與KLIPS兩者都已經(jīng)加載,OpenSWan不能啟動(dòng);如果未加載任何模塊,OpenSWan首選加載NETKEY;如果NETKEY加載失敗,OpenSWan加載KLIPS;如果兩者都不能正常加載,OpenSWan啟動(dòng)失敗。

五、配置OpenSWan\1. OpenSWan主要配置文件

/etc/ipsec.secrets 用來(lái)保存private RSA keys 和 preshared secrets (PSKs) /etc/ipsec.conf 配置文件(settings, options, defaults, connections)

\2. OpenSWan主要配置目錄

/etc/ipsec.d/cacerts 存放X.509認(rèn)證證書(shū)(根證書(shū)-”root certificates”) /etc/ipsec.d/certs 存放X.509客戶端證書(shū)(X.509 client Certificates) /etc/ipsec.d/private 存放X.509認(rèn)證私鑰(X.509 Certificate private keys) /etc/ipsec.d/crls 存放X.509證書(shū)撤消列表(X.509 Certificate Revocation Lists) /etc/ipsec.d/ocspcerts 存放X.500 OCSP證書(shū)(Online Certificate Status Protocol certificates) /etc/ipsec.d/passwd XAUTH密碼文件(XAUTH password file) /etc/ipsec.d/policies 存放Opportunistic Encryption策略組(The Opportunistic Encryption policy groups)

\3. OpenSWan連接方式OpenSWan有兩種連接方式:\1) Network-To-Network方式顧名思義,Network-To-Network方式是把兩個(gè)網(wǎng)絡(luò)連接成一個(gè)虛擬專用網(wǎng)絡(luò)。當(dāng)連接建立后,每個(gè)子網(wǎng)的主機(jī)都可透明地訪問(wèn)遠(yuǎn)程子網(wǎng)的主機(jī)。要實(shí)現(xiàn)此種連接方式,要滿足以下兩個(gè)條件:I. 每個(gè)子網(wǎng)各自擁有一臺(tái)安裝有OpenSWan的主機(jī)作為其子網(wǎng)的出口網(wǎng)關(guān);II.每個(gè)子網(wǎng)的IP段不能有疊加\2) Road Warrior方式當(dāng)使用Network-To-Network方式時(shí),作為每個(gè)子網(wǎng)網(wǎng)關(guān)的主機(jī)不能像子網(wǎng)內(nèi)部主機(jī)那樣透明訪問(wèn)遠(yuǎn)程子網(wǎng)的主機(jī),也就是說(shuō):如果你是一個(gè)使用Laptop的移動(dòng)用戶,經(jīng)常出差或是在不同的地點(diǎn)辦公,你的Laptop將不能用Network-To-Network方式與公司網(wǎng)絡(luò)進(jìn)行連接。Road Warrior方式正是為這種情況而設(shè)計(jì)的,連接建立后,你的Laptop就可以連接到遠(yuǎn)程的網(wǎng)絡(luò)了。\4. OpenSWan的認(rèn)證方式Openswan支持許多不同的認(rèn)證方式,包括RSA keys、pre-shared keys、XAUTH、x.509證書(shū)方式\5. 使用RSA數(shù)字簽名(RSASIG)認(rèn)證方式配制OpenSWan\1) 在LServer、RServer及Laptop上生成新的hostkey

ipsec newhostkey –output /etc/ipsec.secrets

繼續(xù)以下2-4步驟配置LServer-RServer之間的Network-To-Network方式鏈接:\2) 在LServer上執(zhí)行下面的命令獲得leftrsasigkey(即LServer的公鑰Pulic Key)

ipsec showhostkey –left

此命令的輸出格式如下所示:

# RSA 2192 bits LServer.FoxBB.Com Sat Mar 3 15:45:00 2007 leftrsasigkey=0sAQOBIJFmj……

\3) 在RServer上執(zhí)行下面的命令獲得rightrsasigkey(即RServer的公鑰 Pulic Key)

ipsec showhostkey –right

此命令的輸出格式如下所示:

# RSA 2192 bits RServer.FoxBB.Com Sat Mar 3 15:51:56 2007 rightrsasigkey=0sAQNZZZjj……

\4) 在LServer及RServer上編輯/etc/ipsec.conf

vi /etc/ipsec.conf

在最后添加如下內(nèi)容(leftrsasigkey及rightrsasigkey行換成前面2,3步所取得的值)

conn net-to-net left=192.168.1.103 # LServer外網(wǎng)IP地址 leftsubnet=192.168.2.0/24 # LServer內(nèi)網(wǎng)IP段 leftid=@LServer.FoxBB.Com # LServer的標(biāo)識(shí) leftrsasigkey=0sAQOBIJFmj… # LServer的公鑰 leftnexthop=%defaultroute # LServer的下一跳指定為默認(rèn)路由地址 right=192.168.1.104 # RServer外網(wǎng)IP地址 rightsubnet=192.168.3.0/24 # RServer內(nèi)網(wǎng)IP段 rightid=@RServer.FoxBB.Com # RServer的標(biāo)識(shí) rightrsasigkey=0sAQNZZZjj… # Rserver的公鑰 rightnexthop=%defaultroute # RServer的下一跳指定為默認(rèn)路由地址 auto=add # 添加這個(gè)鏈接,但是在OpenSWan啟動(dòng)時(shí)不自動(dòng)連接

顯示詳細(xì)信息

繼續(xù)以下5-10步驟配置LServer-Laptop之間的Road Warrior方式:\5) 在LapTop上執(zhí)行下面的命令獲得leftrsasigkey(即Laptop的公鑰Pulic Key)

ipsec showhostkey –left

此命令的輸出格式如下所示:

# RSA 2192 bits Laptop.FoxBB.Com Sun Mar 11 09:14:25 2007 leftrsasigkey=0sAQOa8tu4E……

\6) 在LServer上執(zhí)行下面的命令獲得rightrsasigkey(即LServer的公鑰 Pulic Key)

ipsec showhostkey –right

此命令的輸出格式如下所示:

# RSA 2192 bits LServer.FoxBB.Com Sat Mar 3 15:45:00 2007 rightrsasigkey=0sAQOBIJFmj……

\7) 在Laptop上編輯/etc/ipsec.conf

vi /etc/ipsec.conf

在最后添加如下內(nèi)容(leftrsasigkey及rightrsasigkey行換成前面5,6步所取得的值)

conn road left=%defaultroute # 通過(guò)默認(rèn)路由獲取Laptop的IP leftid=@Laptop.FoxBB.Com # Laptop的標(biāo)識(shí) leftrsasigkey=0sAQOa8tu4E… # Laptop的公鑰 right=192.168.1.103 # LServer外網(wǎng)IP rightsubnet=192.168.2.0/24 # LServer內(nèi)網(wǎng)IP段 rightid=@LServer.FoxBB.Com # LServer的標(biāo)識(shí) rightrsasigkey=0sAQOBIJFmj… # LServer的公鑰 auto=add # 添加這個(gè)鏈接,但是在OpenSWan啟動(dòng)時(shí)不自動(dòng)連接

\8) 在LServer上執(zhí)行下面的命令獲得leftrsasigkey(即LServer的公鑰Pulic Key)

ipsec showhostkey –left

此命令的輸出格式如下所示:

# RSA 2192 bits LServer.FoxBB.Com Sat Mar 3 15:45:00 2007 leftrsasigkey=0sAQOBIJFmj……

\9) 在Laptop上執(zhí)行下面的命令獲得rightrsasigkey(即Laptop的公鑰 Pulic Key)

ipsec showhostkey –right

此命令的輸出格式如下所示:

# RSA 2192 bits Laptop.FoxBB.Com Sun Mar 11 09:14:25 2007 rightrsasigkey=0sAQOa8tu4E……

10)在LServer上編輯/etc/ipsec.conf

vi /etc/ipsec.conf

在最后添加如下內(nèi)容(leftrsasigkey及rightrsasigkey行換成前面8,9步所取得的值)

conn road left=192.168.1.103 # LServer外網(wǎng)IP leftid=@LServer.FoxBB.Com # LServer的標(biāo)識(shí) leftsubnet=192.168.2.0/24 # LServer內(nèi)網(wǎng)IP段 leftrsasigkey=0sAQOBIJFmj… # LServer的公鑰 rightnexthop=%defaultroute # correct in many situations right=%any # Laptop的外網(wǎng)IP,可能使用動(dòng)態(tài)IP,所以用%any代替任意IP rightid=@Laptop.FoxBB.Com # Laptop的標(biāo)識(shí) rightrsasigkey=0sAQOa8tu4E… # Laptop的公鑰 auto=add # 添加這個(gè)鏈接,但是在OpenSWan啟動(dòng)時(shí)不自動(dòng)連接

注意:在Network-To-Network方式下,兩邊網(wǎng)關(guān)/etc/ipsec.conf中的鏈接配置是一樣的,即left和right是相同的, 而在Road Warrior方式Laptop和網(wǎng)關(guān)上的鏈接配置是不同的,即left指正在配置的本地主機(jī),right指與本地主機(jī)對(duì)應(yīng)的遠(yuǎn)程主機(jī)。

11)在LServer、RServer及Laptop上執(zhí)行下面的命令啟動(dòng)OpenSWan

service ipsec start

12)在LServer及RServer上執(zhí)行下面的命令驗(yàn)證OpenSWan是否正常運(yùn)行

ipsec verify

如果OpenSWan正常運(yùn)行,將會(huì)得到類似下面的輸出

Checking your system to see if IPsec got installed and started correctly: Version check and ipsec on-path [OK] Linux Openswan U2.4.7/K2.6.9-42.EL (netkey) Checking for IPsec support in kernel [OK] NETKEY detected, testing for disabled ICMP send_redirects [OK] NETKEY detected, testing for disabled ICMP accept_redirects [OK] Checking for RSA private key (/etc/ipsec.secrets) [OK] Checking that pluto is running [OK] Two or more interfaces found, checking IP forwarding [OK] Checking NAT and MASQUERADEing Checking for ‘ip’ command [OK] Checking for ‘iptables’ command [OK] Opportunistic Encryption Support [DISABLED]

顯示詳細(xì)信息

13)在LServer或RServer上執(zhí)行下面的命令進(jìn)行LServer-RServer之間的Network-To-Network連接

ipsec auto –up net-to-net

將會(huì)得到類似下面的輸出(如果最后的輸出行中出現(xiàn)IPsec SA established,說(shuō)明連接成功 )

104 “net-to-net” #1: STATE_MAIN_I1: initiate 003 “net-to-net” #1: received Vendor ID payload [Openswan (this version) 2.4.7 PLUTO_SENDS_VENDORID PLUTO_USES_KEYRR] 003 “net-to-net” #1: received Vendor ID payload [Dead Peer Detection] 003 “net-to-net” #1: received Vendor ID payload [RFC 3947] method set to=110 106 “net-to-net” #1: STATE_MAIN_I2: sent MI2, expecting MR2 003 “net-to-net” #1: NAT-Traversal: Result using RFC 3947 (NAT-Traversal): no NAT detected 108 “net-to-net” #1: STATE_MAIN_I3: sent MI3, expecting MR3 004 “net-to-net” #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_RSA_SIG cipher=oakley_3des_cbc_192 prf=oakley_md5 group=modp1536} 117 “net-to-net” #2: STATE_QUICK_I1: initiate 004 “net-to-net” #2: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0xa329d030

顯示詳細(xì)信息

14)在Laptop上執(zhí)行下面的命令進(jìn)行Laptop-LServer之間的Road Warrior連接

ipsec auto –up road

將會(huì)得到類似下面的輸出(如果最后的輸出行中出現(xiàn)IPsec SA established,說(shuō)明連接成功)

104 “road” #1: STATE_MAIN_I1: initiate 003 “road” #1: received Vendor ID payload [Openswan (this version) 2.4.7 PLUTO_SENDS_VENDORID PLUTO_USES_KEYRR] 003 “road” #1: received Vendor ID payload [Dead Peer Detection] 003 “road” #1: received Vendor ID payload [RFC 3947] method set to=110 106 “road” #1: STATE_MAIN_I2: sent MI2, expecting MR2 003 “road” #1: NAT-Traversal: Result using RFC 3947 (NAT-Traversal): no NAT detected 108 “road” #1: STATE_MAIN_I3: sent MI3, expecting MR3 004 “road” #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_RSA_SIG cipher=oakley_3des_cbc_192 prf=oakley_md5 group=modp1536} 117 “road” #2: STATE_QUICK_I1: initiate 004 “road” #2: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0x070f9aae

顯示詳細(xì)信息

15)測(cè)試IPSEC鏈接在LClient上執(zhí)行

ping 192.168.3.2

或在RClient上執(zhí)行

ping 192.168.2.2

在ping命令執(zhí)行期間,在LServer或RServer上執(zhí)行

tcpdump -i eth0

如果LClient和RClient可以互相ping通,tcpdump有類似下面的輸出,說(shuō)明Network-To-Network方式IPSEC已經(jīng)成功連接

13:28:09.931263 IP 192.168.1.104 > 192.168.1.103: ESP(spi=0xa329d030,seq=0x126) 13:28:09.935244 IP 192.168.1.103 > 192.168.1.104: ESP(spi=0xae29b36c,seq=0x126) 13:28:10.818461 IP 192.168.1.104 > 192.168.1.103: ESP(spi=0xa329d030,seq=0x127) 13:28:10.823472 IP 192.168.1.103 > 192.168.1.104: ESP(spi=0xae29b36c,seq=0x127)

16)設(shè)置自動(dòng)連接測(cè)試通過(guò)后,可以把連接配置中

auto=add

更改為:

auto=start

這樣當(dāng)OpenSWan啟動(dòng)時(shí)就可自動(dòng)進(jìn)行連接


名稱欄目:Linux下安裝OpenSWan
網(wǎng)站網(wǎng)址:http://m.5511xx.com/article/copscgh.html