架設linux下最簡單的VPN系統_Linux

架設linux下最簡單的VPN系統

發表于：2007-07-04來源：作者：點擊數：標簽：

本文是根據我公司的實際應用情況寫的,但是稍加修改即可應用到很多地方,系統運行的兩個月來,證明還是安全可靠穩定的,呵... 我公司在北京,但是主要設備都在南京電信的一個主要IDC里,那邊有我們的兩個PIX525UR(做了故障切換),上面做了嚴格的訪問控制,因此,

本文是根據我公司的實際應用情況寫的,但是稍加修改即可應用到很多地方,系統運行的兩個月來,證明還是安全可靠穩定的,呵...

　　我公司在北京,但是主要設備都在南京電信的一個主要IDC里,那邊有我們的兩個PIX525UR(做了故障切換),上面做了嚴格的訪問控制,因此,為了方便公司里的移動,出差及在家的員工辦公,才有了做VPN系統的想法.好使具有相應權限的使用者從個人PC通過支持MPPE128的加密隧道連接至公司的VPN Server,再通過VPN Server將數據轉發到南京IDC的我公司應用網絡,其間的連接也是基于IPSEC的安全VPN隧道.由此可以保證我公司的所有應用需求的安全性和便捷性.

　　1.硬件資源:服務器一臺
　　PIX 525UR防火墻一臺
　　2.軟件資源:Mandrake 9.2
　　kernelmod
　　pptpd
　　Super-freeswan
　　iptables
　　公網ip地址

　　注:我在測試了幾種LINUX(包括Redhat,SuSE,Mandrake,Astaro)后,感覺Mandrake是最簡單,最穩妥的平臺.

　　下面就是安裝過程:
　　1.操作系統安裝:
　　安裝過程無特殊要求,在選擇安裝組件的時候除開發工具外其它一概不選,主要是出于安全性考慮.

　　2.安裝kernelmod:
　　tar zxvf kernelmod-0.7.1.tar.gz
　　cd /kernelmod
　　./ kernelmod.sh

　　3.安裝pptpd:
　?、偕塸pp
　　rpm –Uvh ppp-2.4.2-0.1b3.i386.rpm
　?、诎惭bpptpd
　　rpm –ivh pptpd-1.1.4-1b4.fr.i386.rpm

　　4.安裝Super-freeswan:
　　rpm –ivh super-freeswan-1.99.8-8.2.100mdk.i586.rpm

　　5.升級iptables
　　rpm –Uvh iptables-1.2.8-12.i386.rpm

　　呵...至此,全部的安裝過程就完成了,簡單吧,
　　注:以上軟件都可以在rpmfind.net找到!

　　下面是最主要的配置過程:

　　1.操作系統的配置:
　?、偕塷penssh
　?、陉P閉不需要的服務(sendmail isdn …)
　?、劬庉?etc/sysctl.conf
　　net.ipv4.ip_forward = 0=>1
　　net.ipv4.conf.default.rp_filter = 1=>0

　　2.Pix配置文件(VPN部分):
　　aclearcase/" target="_blank" >ccess-list inside_outbound_nat0_acl permit ip "南京IP段" 255.255.255.0 "公司VPN用戶的IP段" 255.255.255.0
　　access-list outside_cryptomap_20 permit ip "南京IP段" 255.255.255.0 "公司VPN用戶的IP段" 255.255.255.0
　　nat (inside) 0 access-list inside_outbound_nat0_acl
　　sysopt connection permit-ipsec
　　crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
　　crypto map outside_map 20 ipsec-isakmp
　　crypto map outside_map 20 match address outside_cryptomap_20
　　crypto map outside_map 20 set peer "VPN服務器的IP"
　　crypto map outside_map 20 set transform-set ESP-3DES-MD5
　　crypto map outside_map interface outside
　　isakmp enable outside
　　isakmp key "密碼" address "VPN服務器的IP" netmask 255.255.255.255 no-xauth no-config-mode
　　isakmp identity address
　　isakmp policy 20 authentication pre-share
　　isakmp policy 20 encryption 3des
　　isakmp policy 20 hash md5
　　isakmp policy 20 group 2
　　isakmp policy 20 lifetime 28800

　　3.PPtP配置
　?、?etc/pptpd.conf
　　speed 115200
　　option /etc/ppp/options
　　localip "公司VPN用戶的網關(例如10.0.1.1)"
　　remoteip "公司VPN用戶的IP段(例如10.0.1.200-250)"

　?、?etc/ppp/chap-secrets
　　“用戶名” "VPN服務器的IP" “密碼” 10.0.1.20X (200
　?、?etc/ppp/options
　　lock
　　name "VPN服務器的IP"
　　mtu 1490
　　mru 1490
　　proxyarp
　　auth
　　-chap
　　-mschap
　　+mschap-v2
　　require-mppe
　　ipcp-accept-local
　　ipcp-accept-remote
　　lcp-echo-failure 3
　　lcp-echo-interval 5
　　ms-dns X.X.X.X
　　deflate 0

　　4.Super-freeswan配置
　?、?etc/freeswan/ipsec.conf

　　# basic configuration
　　config setup
　　# THIS SETTING MUST BE CORRECT or almost nothing will work;
　　# %defaultroute is okay for most simple cases.
　　interfaces="ipsec0=eth0"
　　# Debug-logging controls: "none" for (almost) none, "all" for lots.
　　klipsdebug=none
　　plutodebug=none
　　# Use auto= parameters in conn descriptions to control startup actions.
　　plutoload=%search
　　plutostart=%search
　　# Close down old connection when new one using same ID shows up.
　　uniqueids=yes
　　nat_traversal=yes

　　# defaults for subsequent connection descriptions
　　# (these defaults will soon go away)
　　conn %default
　　keyingtries=0
　　disablearrivalcheck=no
　　authby=rsasig
　　#leftrsasigkey=%dnsondemand
　　#rightrsasigkey=%dnsondemand

　　conn pix
　　left="VPN服務器的IP"
　　leftnexthop="VPN服務器的網關"
　　leftsubnet="公司VPN用戶的IP段(例如10.0.1.0/32)"
　　right="南京PIX525UR的IP"
　　rightnexthop=%direct
　　rightsubnet="南京IP段"
　　authby=secret
　　pfs=no
　　auto=start

　?、?etc/freeswan/ipsec.secrets
　　"VPN服務器的IP" "南京PIX525UR的IP": PSK "密碼"

　　5.iptables配置(樣本),用以限制公司VPN用戶的訪問權限:
　　iptables -t nat -A POSTROUTING -o eth0 -s 10.0.1.201/32 -d "南京IP段" -j MASQUERADE

　　service iptables save

　　注:1.添加用戶名及修改密碼 /etc/ppp/chap-secrets
　　 2.用戶權限設定編輯修改iptables規則
　　 3.如果公司路由器上有access-list,則添加
　　 permit 47 any host 219.238.213.244
　　 4.校驗IPsec服務是否啟動成功
　　 ipsec verify

原文轉自：http://www.kjueaiud.com

軟件測試 > 測試開發技術 > 軟件測試環境搭建 > Unix系統 > Linux >