高手进阶Linux架设最简单的VPN系统
核心提示:文章标题:高手进阶Linux架设最简单的VPN系统。Linux是中国站长站的1个技术频道。包括桌面利用,Linux系统治理,内核研究,嵌进式系统和开源等1些基天职类
1.硬件资源:服务器1台
PIX525UR防火墙1台
2.软件资源:Mandrake9.2
kernelmod
pptpd
Super-freeswan
iptables
公网ip地址
注:我在测试了几种LINUX(包括Redhat,SuSE,Mandrake,Astaro)后,感觉Mandrake是最简单,最稳妥的平台。
下面就是安装进程:
1.操纵系统安装:
安装进程无特殊要求,在选择安装组件的时候除开发工具外其它1概不选,主要是出于安全性考虑.
2.安装kernelmod:
tarzxvfkernelmod-0.7.1.tar.gz
cd/kernelmod
./kernelmod.sh
3.安装pptpd:
①升级ppp
rpm–Uvhppp⑵.4.2-0.1b3.i386.rpm
②安装pptpd
rpm–ivhpptpd⑴.1.4⑴b4.fr.i386.rpm
4.安装Super-freeswan:
rpm–ivhsuper-freeswan⑴.99.8⑻.2.100mdk.i586.rpm
5.升级iptables:
rpm–Uvhiptables⑴.2.8⑴2.i386.rpm
呵...至此,全部的安装进程就完成了,简单吧,
注:以上软件都可以在rpmfind.net找到!
下面是最主要的配置进程:
1.操纵系统的配置:
①升级openssh
②封闭不需要的服务(sendmailisdn…)
③编辑/etc/sysctl.conf
net.ipv4.ip_forward=0=>1
net.ipv4.conf.default.rp_filter=1=>0
2.Pix配置文件(VPN部份):
access-listinside_outbound_nat0_aclpermitip"南京IP段"255.255.255.0"公司VPN用户的IP段"255.255.255.0
access-listoutside_cryptomap_20permitip"南京IP段"255.255.255.0"公司VPN用户的IP段"255.255.255.0
nat(inside)0access-listinside_outbound_nat0_acl
sysoptconnectionpermit-ipsec
cryptoipsectransform-setESP⑶DES-MD5esp⑶desesp-md5-hmac
cryptomapoutside_map20ipsec-isakmp
cryptomapoutside_map20matchaddressoutside_cryptomap_20
cryptomapoutside_map20setpeer"VPN服务器的IP"
cryptomapoutside_map20settransform-setESP⑶DES-MD5
cryptomapoutside_mapinte***ceoutside
isakmpenableoutside
isakmpkey"密码"address"VPN服务器的IP"netmask255.255.255.255no-xauthno-config-mode
isakmpidentityaddress
isakmppolicy20authenticationpre-share
isakmppolicy20encryption3des
isakmppolicy20hashmd5
isakmppolicy20group2
isakmppolicy20lifetime28800
#p#分页标题#e#3.PPtP配置
①/etc/pptpd.conf
speed115200
option/etc/ppp/options
localip"公司VPN用户的网关(例如10.0.1.1)"
remoteip"公司VPN用户的IP段(例如10.0.1.200⑵50)"
②/etc/ppp/chap-secrets
“用户名”"VPN服务器的IP"“密码”10.0.1.20X(200
③/etc/ppp/options
lock
name"VPN服务器的IP"
mtu1490
mru1490
proxyarp
auth
-chap
-mschap
+mschap-v2
require-mppe
ipcp-accept-local
ipcp-accept-remote
lcp-echo-failure3
lcp-echo-interval5
ms-dnsX.X.X.X
deflate0
4.Super-freeswan配置
①/etc/freeswan/ipsec.conf
#basicconfiguration
configsetup
#THISSETTINGMUSTBECORRECToralmostnothingwillwork;
#%defaultrouteisokayformost***cases.
inte***ces="ipsec0=eth0"
#Debug-loggingcontrols:"none"for(almost)none,"all"forlots.
klipsdebug=none
plutodebug=none
#Useauto=parametersinconndescriptionstocontrolstartupactions.
plutoload=%search
plutostart=%search
#ClosedownoldconnectionwhennewoneusingsameIDshowsup.
uniqueids=yes
nat_traversal=yes
#defaultsforsubsequentconnectiondescriptions
#(thesedefaultswillsoongoaway)
conn%default
keyingtries=0
disablearrivalcheck=no
authby=rsasig
#leftrsasigkey=%dnsondemand
#rightrsasigkey=%dnsondemand
connpix
left="VPN服务器的IP"
leftnexthop="VPN服务器的网关"
leftsubnet="公司VPN用户的IP段(例如10.0.1.0/32)"
right="南京PIX525UR的IP"
rightnexthop=%direct
rightsubnet="南京IP段"
authby=secret
pfs=no
auto=start
②/etc/freeswan/ipsec.secrets
"VPN服务器的IP""南京PIX525UR的IP":PSK"密码"
5.iptables配置(样本),用以限制公司VPN用户的访问权限:
iptables-tnat-APOSTROUTING-oeth0-s10.0.1.201/32-d"南京IP段"-jMASQUERADE
serviceiptablessave
注:添加用户名及修改密码/etc/ppp/chap-secrets
用户权限设定编辑修改iptables规则
假设公司路由器上有access-list,则添加
TAG:用户,服务器,系统,公司,南京
|
评论加载中...
|
邮 箱:admin@fw8.net 