作者:yuehuiw 来源: chinaunix.net
=myp111>本文是根据我公司
实际应用情况写
,但是稍加修改即可应用到很多地方,系统运行
两个月来,证明还是安全可靠稳定
,呵...
我公司在北京,但是主要设备都在南京电信
个主要IDC里,那边有我们
两个PIX525UR(做了故障切换),上面做了严格
访问控制,因此,为了方便公司里
移动,出差及在家
员工办公,才有了做VPN系统
想法.好使具有相应权限
使用者从个人PC通过支持MPPE128
加密隧道连接至公司
VPN Server,再通过VPN Server将数据转发到南京IDC
我公司应用网络,其间
连接也是基于IPSEC
安全VPN隧道.由此可以保证我公司
所有应用需求
安全性和便捷性.
1.硬件资源:服务器台
PIX 525UR防火墙台
2.软件Software资源:Mandrake 9.2
kernelmod
pptpd
Super-freeswan
iptables
公网ip地址
注:我在测试了几种LINUX(包括Redhat,SuSE,Mandrake,Astaro)后,感觉Mandrake是最简单,最稳妥
平台.
下面就是安装过程:
1.操作系统安装:
安装过程无特殊要求,在选择安装组件
时候除开发工具外其它
概不选,主要是出于安全性考虑.
2.安装kernelmod:
tar zxvf kernelmod-0.7.1.tar.gz
cd /kernelmod
./ kernelmod.sh
3.安装pptpd:
①升级ppp
rpm –Uvh ppp-2.4.2-0.1b3.i386.rpm
②安装pptpd
rpm –ivh pptpd-1.1.4-1b4.fr.i386.rpm
4.安装Super-freeswan:
rpm –ivh super-freeswan-1.99.8-8.2.100mdk.i586.rpm
5.升级iptables
rpm –Uvh iptables-1.2.8-12.i386.rpm
呵...至此,全部
安装过程就完成了,简单吧
注:以上软件Software都可以在rpmfind.net找到!
下面是最主要
配置过程:
1.操作系统
配置:
①升级openssh
②关闭不需要
服务(sendmail isdn …)
③编辑/etc/sysctl.conf
net.ipv4.ip_forward = 0=>1
net.ipv4.conf.default.rp_filter = 1=>0
2.Pix配置文件(VPN部分):
access-list inside_outbound_nat0_acl permit ip
"南京IP段" 255.255.255.0 "公司VPN用户IP段" 255.255.255.0
access-list outside_cryptomap_20 permit ip
"南京IP段" 255.255.255.0 "公司VPN用户IP段" 255.255.255.0
nat (inside) 0 access-list inside_outbound_nat0_acl
sysopt connection permit-ipsec
crypto ipsec transform- ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 peer "VPN服务器IP"
crypto map outside_map 20 transform- ESP-3DES-MD5
crypto map outside_map erface outside
isakmp enable outside
isakmp key "密码" address "VPN服务器IP" netmask
255.255.255.255 no-xauth no-config-mode
isakmp identity address
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 letime 28800
3.PPtP配置
①/etc/pptpd.conf
speed 115200
option /etc/ppp/options
localip "公司VPN用户网关(例如10.0.1.1)"
remoteip "公司VPN用户IP段(例如10.0.1.200-250)"
②/etc/ppp/chap-secrets
“用户名” "VPN服务器IP" “密码” 10.0.1.20X (200<X<250)
③/etc/ppp/options
lock
name "VPN服务器IP"
mtu 1490
mru 1490
proxyarp
auth
-chap
-mschap
+mschap-v2
require-mppe
ipcp-accept-local
ipcp-accept-remote
lcp-echo-failure 3
lcp-echo-erval 5
ms-dns X.X.X.X
deflate 0
4.Super-freeswan配置
①/etc/freeswan/ipsec.conf
# basic configuration
config up
# THIS SETTING MUST BE CORRECT or almost nothing will work;
# %defaultroute is okay for most simple s.
erfaces="ipsec0=eth0"
# Debug-logging controls: "none" for (almost) none, "all" for lots.
klipsdebug=none
plutodebug=none
# Use auto= parameters in conn descriptions to control startup actions.
plutoload=%search
plutostart=%search
# Close down old connection when _disibledevent=>
②/etc/freeswan/ipsec.secrets
"VPN服务器
IP" "南京PIX525UR
IP": PSK "密码"
5.iptables配置(样本),用以限制公司VPN用户
访问权限:
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.1.201/32 -d "南京IP段" -j MASQUERADE
service iptables save
注:1.添加用户名及修改密码 /etc/ppp/chap-secrets
2.用户权限设定 编辑修改iptables规则
3. 如果公司路由器上有access-list,则添加 permit 47 any host 219.238.213.244
4. 校验IPsec服务是否启动成功 ipsec ver
y
延伸阅读
最新评论