vpn架设:架设Linux下最简单的VPN系统

on 2009-9-2 in Linux | 0 Comment
作者:yuehuiw   来源: chinaunix.net

=myp111>本文是根据我公司实际应用情况写,但是稍加修改即可应用到很多地方,系统运行两个月来,证明还是安全可靠稳定,呵...

我公司在北京,但是主要设备都在南京电信个主要IDC里,那边有我们两个PIX525UR(做了故障切换),上面做了严格访问控制,因此,为了方便公司里移动,出差及在家员工办公,才有了做VPN系统想法.好使具有相应权限使用者从个人PC通过支持MPPE128加密隧道连接至公司VPN Server,再通过VPN Server将数据转发到南京IDC我公司应用网络,其间连接也是基于IPSEC安全VPN隧道.由此可以保证我公司所有应用需求安全性和便捷性.

1.硬件资源:服务器台 PIX 525UR防火墙台 2.软件Software资源:Mandrake 9.2 kernelmod pptpd Super-freeswan iptables 公网ip地址





注:我在测试了几种LINUX(包括Redhat,SuSE,Mandrake,Astaro)后,感觉Mandrake是最简单,最稳妥平台.

下面就是安装过程:

1.操作系统安装:
安装过程无特殊要求,在选择安装组件时候除开发工具外其它概不选,主要是出于安全性考虑.

2.安装kernelmod:

tar zxvf kernelmod-0.7.1.tar.gz cd /kernelmod ./ kernelmod.sh





3.安装pptpd:

①升级ppp rpm –Uvh ppp-2.4.2-0.1b3.i386.rpm ②安装pptpd rpm –ivh pptpd-1.1.4-1b4.fr.i386.rpm





4.安装Super-freeswan:
rpm –ivh super-freeswan-1.99.8-8.2.100mdk.i586.rpm

5.升级iptables
rpm –Uvh iptables-1.2.8-12.i386.rpm

呵...至此,全部安装过程就完成了,简单吧
注:以上软件Software都可以在rpmfind.net找到!

下面是最主要配置过程:

1.操作系统配置:
①升级openssh
②关闭不需要服务(sendmail isdn …)
③编辑/etc/sysctl.conf

net.ipv4.ip_forward = 0=>1 net.ipv4.conf.default.rp_filter = 1=>0





2.Pix配置文件(VPN部分):

access-list inside_outbound_nat0_acl permit ip "南京IP段" 255.255.255.0 "公司VPN用户IP段" 255.255.255.0 access-list outside_cryptomap_20 permit ip "南京IP段" 255.255.255.0 "公司VPN用户IP段" 255.255.255.0 nat (inside) 0 access-list inside_outbound_nat0_acl sysopt connection permit-ipsec crypto ipsec transform- ESP-3DES-MD5 esp-3des esp-md5-hmac crypto map outside_map 20 ipsec-isakmp crypto map outside_map 20 match address outside_cryptomap_20 crypto map outside_map 20 peer "VPN服务器IP" crypto map outside_map 20 transform- ESP-3DES-MD5 crypto map outside_map erface outside isakmp enable outside isakmp key "密码" address "VPN服务器IP" netmask 255.255.255.255 no-xauth no-config-mode isakmp identity address isakmp policy 20 authentication pre-share isakmp policy 20 encryption 3des isakmp policy 20 hash md5 isakmp policy 20 group 2 isakmp policy 20 letime 28800





3.PPtP配置

①/etc/pptpd.conf speed 115200 option /etc/ppp/options localip "公司VPN用户网关(例如10.0.1.1)" remoteip "公司VPN用户IP段(例如10.0.1.200-250)" ②/etc/ppp/chap-secrets “用户名” "VPN服务器IP" “密码” 10.0.1.20X (200<X<250) ③/etc/ppp/options lock name "VPN服务器IP" mtu 1490 mru 1490 proxyarp auth -chap -mschap +mschap-v2 require-mppe ipcp-accept-local ipcp-accept-remote lcp-echo-failure 3 lcp-echo-erval 5 ms-dns X.X.X.X deflate 0





4.Super-freeswan配置
①/etc/freeswan/ipsec.conf

# basic configuration config up # THIS SETTING MUST BE CORRECT or almost nothing will work; # %defaultroute is okay for most simple s. erfaces="ipsec0=eth0" # Debug-logging controls: "none" for (almost) none, "all" for lots. klipsdebug=none plutodebug=none # Use auto= parameters in conn descriptions to control startup actions. plutoload=%search plutostart=%search # Close down old connection when _disibledevent=>





②/etc/freeswan/ipsec.secrets
"VPN服务器IP" "南京PIX525URIP": PSK "密码"

5.iptables配置(样本),用以限制公司VPN用户访问权限:
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.1.201/32 -d "南京IP段" -j MASQUERADE
service iptables save

注:1.添加用户名及修改密码 /etc/ppp/chap-secrets
2.用户权限设定 编辑修改iptables规则
3. 如果公司路由器上有access-list,则添加 permit 47 any host 219.238.213.244
4. 校验IPsec服务是否启动成功 ipsec very

Tags:  vpn代理服务器架设 如何架设vpn vpn服务器架设 vpn架设

延伸阅读

最新评论

发表评论