日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
Linux下安裝OpenSWan

OpenSWan是linux選Ipsec及I2tp協(xié)議的一個不錯的實現(xiàn)方案。他支持和ipsec相關(guān)的大多數(shù)的擴展(RFC+IETF drafts)。Openswan項目起源于FreeS/WAN 2.04項目,該項目的功能很強大,可以很大程度上保證數(shù)據(jù)在跨網(wǎng)傳輸中的安全性、完整性,特別是通過它,餓哦沒可以很好地實現(xiàn)跨機房或異地辦公場所實現(xiàn)局域網(wǎng)互聯(lián)解決方案,如果和openvpn工具配合,可以實現(xiàn)將注入門戶網(wǎng)站的多機房互訪及vpn的各種強大解決方案。

創(chuàng)新互聯(lián)建站是一家專注于成都做網(wǎng)站、成都網(wǎng)站建設(shè)與策劃設(shè)計,易門網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)建站做網(wǎng)站,專注于網(wǎng)站建設(shè)十載,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:易門等地區(qū)。易門做網(wǎng)站價格咨詢:18982081108

系統(tǒng)環(huán)境

本文使用VMWare建立五臺虛擬Linux主機來進行試驗。操作系統(tǒng): CentOS 4.4內(nèi)核版本:2.6.9-42主機網(wǎng)絡(luò)參數(shù)設(shè)置: 如無特殊說明,子網(wǎng)掩碼均為255.255.255.0

主機名 網(wǎng)卡eth0 網(wǎng)卡eth1 默認網(wǎng)關(guān) 用途
LServer 192.168.1.103 192.168.2.1 192.168.1.1 Left網(wǎng)關(guān)
RServer 192.168.1.104 192.168.3.1 192.168.1.1 Right網(wǎng)關(guān)
LClient 192.168.1.113 192.168.2.2 192.168.2.1 Left客戶機
RClient 192.168.1.114 192.168.3.2 192.168.3.1 Right客戶機
Laptop 192.168.1.105 192.168.1.1 Laptop客戶機

安裝設(shè)置操作系統(tǒng)

推薦使用CentOS 4.4,基于RedHat Enterprise AS 4.4安全加強的免費可升級獨立分發(fā)版本Linux操作系統(tǒng),安裝過程不再詳述。需要注意的是,安裝時請確保選中開發(fā)軟件包,以及l(fā)ibgmp軟件包 (gmp、gmp-devel)、gawk、flex、bison。以下步驟只需在LServer、RServer及Laptop上執(zhí)行。系統(tǒng)按前述參數(shù)安裝完畢后在LServer、RServer執(zhí)行以下命令:

sysctl -a | egrep “ipv4.*(accept|send)_redirects” | awk -F “=” ‘{print $1″= 0″}’ >> /etc/sysctl.conf

編輯/etc/sysctl.conf

vi /etc/sysctl.conf

將下面兩項:

net.ipv4.ip_forward = 0 net.ipv4.conf.default.rp_filter = 1

改為:

net.ipv4.ip_forward = 1 net.ipv4.conf.default.rp_filter = 0

執(zhí)行以下命令使設(shè)置生效:

sysctl -p

在LServer上執(zhí)行以下命令設(shè)置NAT:

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.2.0/24 -d ! 192.168.3.0/24 -j MASQUERADE

在RServer上執(zhí)行以下命令設(shè)置NAT:

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.3.0/24 -d ! 192.168.2.0/24 -j MASQUERADE

四、安裝OpenSWan\1. 下載源碼包

cd ~ wget http://www.openswan.org/download/openswan-2.4.7.tar.gz

\2. 解壓源碼包

tar zxvf openswan-2.4.7.tar.gz

\3. 安裝UserLand

cd openswan-2.4.7 make programs make install

\4. 安裝KLIPS IPstack (可選,如果用26sec則不需安裝)1)安裝NAT-Traversal內(nèi)核補丁export KERNELSRC=/usr/src/kernels/2.6.9-42.EL-i686make nattpatch > /usr/src/openswan-ipsec-natt.patchcd $KERNELSRCcat /usr/src/openswan-ipsec-natt.patch | patch -p1 -smake cleanmake oldconfig當執(zhí)行make oldconfig命令時,由于添加了Nat-t補丁,會出現(xiàn)以下提示:IPSEC NAT-Traversal (KLIPS compatible) (IPSEC_NAT_TRAVERSAL) [N/y/?] (NEW)按y鍵確認后繼續(xù)完成make oldconfig命令繼續(xù)執(zhí)行以下命令重新編譯安裝內(nèi)核makemake modules_installmake install編譯安裝完成新內(nèi)核后請重啟系統(tǒng),以啟用新內(nèi)核 2)安裝KLIPS

cd ~/openswan-2.4.7 make KERNELSRC=/lib/modules/uname -r/build module minstall depmod -a

加載KLIPS模塊前必須先卸載NETKEY模塊

rmmod xfrmuser af_key esp4 ah4 ipcomp xfrm4_tunnel

執(zhí)行以下命令加載KLIPS

modprobe ipsec

\5. 驗證安裝執(zhí)行下面的命令驗證OpenSWan是否正確安裝

ipsec –version

如果程序正確安裝,此命令將顯示以下三種可能結(jié)果:如果已加載的IPsec stack是NETKEY,顯示如下

Linux Openswan U2.4.7/K2.6.9-42.EL (netkey) See `ipsec –copyright’ for copyright information.

如果已加載的IPsec stack是KLIPS,顯示如下

Linux Openswan 2.4.7 (klips) See `ipsec –copyright’ for copyright information.

如果沒有加載任何IPsec stack,顯示如下

Linux Openswan U2.4.7/K(no kernel code presently loaded) See `ipsec –copyright’ for copyright information.

\6. 特別說明如果系統(tǒng)中NETKEY、KLIPS模塊同時存在,OpenSWan按以下規(guī)則加載其一:通常情況下,OpenSWan啟動時使用已經(jīng)加載的模塊;如果NETKEY與KLIPS兩者都已經(jīng)加載,OpenSWan不能啟動;如果未加載任何模塊,OpenSWan首選加載NETKEY;如果NETKEY加載失敗,OpenSWan加載KLIPS;如果兩者都不能正常加載,OpenSWan啟動失敗。

五、配置OpenSWan\1. OpenSWan主要配置文件

/etc/ipsec.secrets 用來保存private RSA keys 和 preshared secrets (PSKs) /etc/ipsec.conf 配置文件(settings, options, defaults, connections)

\2. OpenSWan主要配置目錄

/etc/ipsec.d/cacerts 存放X.509認證證書(根證書-”root certificates”) /etc/ipsec.d/certs 存放X.509客戶端證書(X.509 client Certificates) /etc/ipsec.d/private 存放X.509認證私鑰(X.509 Certificate private keys) /etc/ipsec.d/crls 存放X.509證書撤消列表(X.509 Certificate Revocation Lists) /etc/ipsec.d/ocspcerts 存放X.500 OCSP證書(Online Certificate Status Protocol certificates) /etc/ipsec.d/passwd XAUTH密碼文件(XAUTH password file) /etc/ipsec.d/policies 存放Opportunistic Encryption策略組(The Opportunistic Encryption policy groups)

\3. OpenSWan連接方式OpenSWan有兩種連接方式:\1) Network-To-Network方式顧名思義,Network-To-Network方式是把兩個網(wǎng)絡(luò)連接成一個虛擬專用網(wǎng)絡(luò)。當連接建立后,每個子網(wǎng)的主機都可透明地訪問遠程子網(wǎng)的主機。要實現(xiàn)此種連接方式,要滿足以下兩個條件:I. 每個子網(wǎng)各自擁有一臺安裝有OpenSWan的主機作為其子網(wǎng)的出口網(wǎng)關(guān);II.每個子網(wǎng)的IP段不能有疊加\2) Road Warrior方式當使用Network-To-Network方式時,作為每個子網(wǎng)網(wǎng)關(guān)的主機不能像子網(wǎng)內(nèi)部主機那樣透明訪問遠程子網(wǎng)的主機,也就是說:如果你是一個使用Laptop的移動用戶,經(jīng)常出差或是在不同的地點辦公,你的Laptop將不能用Network-To-Network方式與公司網(wǎng)絡(luò)進行連接。Road Warrior方式正是為這種情況而設(shè)計的,連接建立后,你的Laptop就可以連接到遠程的網(wǎng)絡(luò)了。\4. OpenSWan的認證方式Openswan支持許多不同的認證方式,包括RSA keys、pre-shared keys、XAUTH、x.509證書方式\5. 使用RSA數(shù)字簽名(RSASIG)認證方式配制OpenSWan\1) 在LServer、RServer及Laptop上生成新的hostkey

ipsec newhostkey –output /etc/ipsec.secrets

繼續(xù)以下2-4步驟配置LServer-RServer之間的Network-To-Network方式鏈接:\2) 在LServer上執(zhí)行下面的命令獲得leftrsasigkey(即LServer的公鑰Pulic Key)

ipsec showhostkey –left

此命令的輸出格式如下所示:

# RSA 2192 bits LServer.FoxBB.Com Sat Mar 3 15:45:00 2007 leftrsasigkey=0sAQOBIJFmj……

\3) 在RServer上執(zhí)行下面的命令獲得rightrsasigkey(即RServer的公鑰 Pulic Key)

ipsec showhostkey –right

此命令的輸出格式如下所示:

# RSA 2192 bits RServer.FoxBB.Com Sat Mar 3 15:51:56 2007 rightrsasigkey=0sAQNZZZjj……

\4) 在LServer及RServer上編輯/etc/ipsec.conf

vi /etc/ipsec.conf

在最后添加如下內(nèi)容(leftrsasigkey及rightrsasigkey行換成前面2,3步所取得的值)

conn net-to-net left=192.168.1.103 # LServer外網(wǎng)IP地址 leftsubnet=192.168.2.0/24 # LServer內(nèi)網(wǎng)IP段 leftid=@LServer.FoxBB.Com # LServer的標識 leftrsasigkey=0sAQOBIJFmj… # LServer的公鑰 leftnexthop=%defaultroute # LServer的下一跳指定為默認路由地址 right=192.168.1.104 # RServer外網(wǎng)IP地址 rightsubnet=192.168.3.0/24 # RServer內(nèi)網(wǎng)IP段 rightid=@RServer.FoxBB.Com # RServer的標識 rightrsasigkey=0sAQNZZZjj… # Rserver的公鑰 rightnexthop=%defaultroute # RServer的下一跳指定為默認路由地址 auto=add # 添加這個鏈接,但是在OpenSWan啟動時不自動連接

顯示詳細信息

繼續(xù)以下5-10步驟配置LServer-Laptop之間的Road Warrior方式:\5) 在LapTop上執(zhí)行下面的命令獲得leftrsasigkey(即Laptop的公鑰Pulic Key)

ipsec showhostkey –left

此命令的輸出格式如下所示:

# RSA 2192 bits Laptop.FoxBB.Com Sun Mar 11 09:14:25 2007 leftrsasigkey=0sAQOa8tu4E……

\6) 在LServer上執(zhí)行下面的命令獲得rightrsasigkey(即LServer的公鑰 Pulic Key)

ipsec showhostkey –right

此命令的輸出格式如下所示:

# RSA 2192 bits LServer.FoxBB.Com Sat Mar 3 15:45:00 2007 rightrsasigkey=0sAQOBIJFmj……

\7) 在Laptop上編輯/etc/ipsec.conf

vi /etc/ipsec.conf

在最后添加如下內(nèi)容(leftrsasigkey及rightrsasigkey行換成前面5,6步所取得的值)

conn road left=%defaultroute # 通過默認路由獲取Laptop的IP leftid=@Laptop.FoxBB.Com # Laptop的標識 leftrsasigkey=0sAQOa8tu4E… # Laptop的公鑰 right=192.168.1.103 # LServer外網(wǎng)IP rightsubnet=192.168.2.0/24 # LServer內(nèi)網(wǎng)IP段 rightid=@LServer.FoxBB.Com # LServer的標識 rightrsasigkey=0sAQOBIJFmj… # LServer的公鑰 auto=add # 添加這個鏈接,但是在OpenSWan啟動時不自動連接

\8) 在LServer上執(zhí)行下面的命令獲得leftrsasigkey(即LServer的公鑰Pulic Key)

ipsec showhostkey –left

此命令的輸出格式如下所示:

# RSA 2192 bits LServer.FoxBB.Com Sat Mar 3 15:45:00 2007 leftrsasigkey=0sAQOBIJFmj……

\9) 在Laptop上執(zhí)行下面的命令獲得rightrsasigkey(即Laptop的公鑰 Pulic Key)

ipsec showhostkey –right

此命令的輸出格式如下所示:

# RSA 2192 bits Laptop.FoxBB.Com Sun Mar 11 09:14:25 2007 rightrsasigkey=0sAQOa8tu4E……

10)在LServer上編輯/etc/ipsec.conf

vi /etc/ipsec.conf

在最后添加如下內(nèi)容(leftrsasigkey及rightrsasigkey行換成前面8,9步所取得的值)

conn road left=192.168.1.103 # LServer外網(wǎng)IP leftid=@LServer.FoxBB.Com # LServer的標識 leftsubnet=192.168.2.0/24 # LServer內(nèi)網(wǎng)IP段 leftrsasigkey=0sAQOBIJFmj… # LServer的公鑰 rightnexthop=%defaultroute # correct in many situations right=%any # Laptop的外網(wǎng)IP,可能使用動態(tài)IP,所以用%any代替任意IP rightid=@Laptop.FoxBB.Com # Laptop的標識 rightrsasigkey=0sAQOa8tu4E… # Laptop的公鑰 auto=add # 添加這個鏈接,但是在OpenSWan啟動時不自動連接

注意:在Network-To-Network方式下,兩邊網(wǎng)關(guān)/etc/ipsec.conf中的鏈接配置是一樣的,即left和right是相同的, 而在Road Warrior方式Laptop和網(wǎng)關(guān)上的鏈接配置是不同的,即left指正在配置的本地主機,right指與本地主機對應(yīng)的遠程主機。

11)在LServer、RServer及Laptop上執(zhí)行下面的命令啟動OpenSWan

service ipsec start

12)在LServer及RServer上執(zhí)行下面的命令驗證OpenSWan是否正常運行

ipsec verify

如果OpenSWan正常運行,將會得到類似下面的輸出

Checking your system to see if IPsec got installed and started correctly: Version check and ipsec on-path [OK] Linux Openswan U2.4.7/K2.6.9-42.EL (netkey) Checking for IPsec support in kernel [OK] NETKEY detected, testing for disabled ICMP send_redirects [OK] NETKEY detected, testing for disabled ICMP accept_redirects [OK] Checking for RSA private key (/etc/ipsec.secrets) [OK] Checking that pluto is running [OK] Two or more interfaces found, checking IP forwarding [OK] Checking NAT and MASQUERADEing Checking for ‘ip’ command [OK] Checking for ‘iptables’ command [OK] Opportunistic Encryption Support [DISABLED]

顯示詳細信息

13)在LServer或RServer上執(zhí)行下面的命令進行LServer-RServer之間的Network-To-Network連接

ipsec auto –up net-to-net

將會得到類似下面的輸出(如果最后的輸出行中出現(xiàn)IPsec SA established,說明連接成功 )

104 “net-to-net” #1: STATE_MAIN_I1: initiate 003 “net-to-net” #1: received Vendor ID payload [Openswan (this version) 2.4.7 PLUTO_SENDS_VENDORID PLUTO_USES_KEYRR] 003 “net-to-net” #1: received Vendor ID payload [Dead Peer Detection] 003 “net-to-net” #1: received Vendor ID payload [RFC 3947] method set to=110 106 “net-to-net” #1: STATE_MAIN_I2: sent MI2, expecting MR2 003 “net-to-net” #1: NAT-Traversal: Result using RFC 3947 (NAT-Traversal): no NAT detected 108 “net-to-net” #1: STATE_MAIN_I3: sent MI3, expecting MR3 004 “net-to-net” #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_RSA_SIG cipher=oakley_3des_cbc_192 prf=oakley_md5 group=modp1536} 117 “net-to-net” #2: STATE_QUICK_I1: initiate 004 “net-to-net” #2: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0xa329d030

顯示詳細信息

14)在Laptop上執(zhí)行下面的命令進行Laptop-LServer之間的Road Warrior連接

ipsec auto –up road

將會得到類似下面的輸出(如果最后的輸出行中出現(xiàn)IPsec SA established,說明連接成功)

104 “road” #1: STATE_MAIN_I1: initiate 003 “road” #1: received Vendor ID payload [Openswan (this version) 2.4.7 PLUTO_SENDS_VENDORID PLUTO_USES_KEYRR] 003 “road” #1: received Vendor ID payload [Dead Peer Detection] 003 “road” #1: received Vendor ID payload [RFC 3947] method set to=110 106 “road” #1: STATE_MAIN_I2: sent MI2, expecting MR2 003 “road” #1: NAT-Traversal: Result using RFC 3947 (NAT-Traversal): no NAT detected 108 “road” #1: STATE_MAIN_I3: sent MI3, expecting MR3 004 “road” #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_RSA_SIG cipher=oakley_3des_cbc_192 prf=oakley_md5 group=modp1536} 117 “road” #2: STATE_QUICK_I1: initiate 004 “road” #2: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0x070f9aae

顯示詳細信息

15)測試IPSEC鏈接在LClient上執(zhí)行

ping 192.168.3.2

或在RClient上執(zhí)行

ping 192.168.2.2

在ping命令執(zhí)行期間,在LServer或RServer上執(zhí)行

tcpdump -i eth0

如果LClient和RClient可以互相ping通,tcpdump有類似下面的輸出,說明Network-To-Network方式IPSEC已經(jīng)成功連接

13:28:09.931263 IP 192.168.1.104 > 192.168.1.103: ESP(spi=0xa329d030,seq=0x126) 13:28:09.935244 IP 192.168.1.103 > 192.168.1.104: ESP(spi=0xae29b36c,seq=0x126) 13:28:10.818461 IP 192.168.1.104 > 192.168.1.103: ESP(spi=0xa329d030,seq=0x127) 13:28:10.823472 IP 192.168.1.103 > 192.168.1.104: ESP(spi=0xae29b36c,seq=0x127)

16)設(shè)置自動連接測試通過后,可以把連接配置中

auto=add

更改為:

auto=start

這樣當OpenSWan啟動時就可自動進行連接


本文名稱:Linux下安裝OpenSWan
文章地址:http://www.5511xx.com/article/copscgh.html