注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

itoedr的it学苑

记录从IT文盲学到专家的历程

 
 
 

日志

 
 

linux下openswan的配置参考  

2013-09-12 03:53:25|  分类: linux遂道技术 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
##openswan配置
::注:主要10个步骤::
主要配置文件有两个,ipsec.conf、ipsec.secrets。
          在这里我们看看网络拓朴图,网络一服 务器的内网接eth0接口,地址是172.21.1.1,外网接eth1接口,地址是203.86.61.172,主机是left,下连 172.21.1.0/24这个局域网。网络二服务器的内网接eth0接口,地址是176.20.1.1,外网接eth1接口,地址是 203.86.61.173,主机是right,下连176.20.1.0/24这个局域网。


   1. ipsec newhostkey –output /etc/ipsec.secrets
在左、右服务器里,分别执行以上命令。
     2. vi /etc/ipsec.conf,内容如下,比照下面文件,修改和增加,其实要改和增加的地方并不多,有“#”的都是注释,不用管。

# /etc/ipsec.conf - Openswan IPsec configuration file
# RCSID $Id: ipsec.conf.in,v 1.15.2.6 2006/10/19 03:49:46 paul Exp $

# This file:   /usr/local/share/doc/openswan/ipsec.conf-sample
#
# Manual:     ipsec.conf.5


version 2.0 # conforms to second version of ipsec.conf specification

# basic configuration
config setup
# plutodebug / klipsdebug = "all", "none" or a combation from below:
# "raw crypt parsing emitting control klips pfkey natt x509 private"
# eg: plutodebug="control parsing"
#
# ONLY enable plutodebug=all or klipsdebug=all if you are a developer !!
#
# NAT-TRAVERSAL support, see README.NAT-Traversal
interfaces=%defaultroute
nat_traversal=yes
# virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
#
# enable this if you see "failed to find any available worker"
nhelpers=0

# Add connections here
conn %default
authby=rsasig
compress=yes

# sample VPN connections, see /etc/ipsec.d/examples/

#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf

conn network-to-network
left=203.86.61.173
leftsubnet=176.20.1.0/24
leftid=@left
# RSA 2192 bits left Tue Mar 13 14:55:48 2007
leftrsasigkey=0sAQPW/s8yMYIAPS97rK2JESc0ZOMrcuE2sFSdsfh++JGe97t7m1As+QPiVyLP6KuWlLBjIJzwvpUbipiCmKjmNKXZ+eS0dtAw1faVpVxa+7DJLgAnHjyafYW3SxXRF/xEp0HBckJNeGtjJheqtmWggUa6WejjhPNosmA7Zyj07ikW05JZYvUNf2uFBBupRMC0kwmFRpdah2IiDSecOy57LkACS6AFhX60PTh0Eip1N0cJUXjbrS95KudcPYsXpw6bKQbHl/Vku+0RfqIfZ2tXXcqj5OKJSeMp1fh6Bt+zh8T5qPZJNvU19xJufdSDQmaxI4XaGHwKmA1KIBotVS4F+0DVn0mvDIf1HfF/YNsKPiI9diJn
leftnexthop=%defaultroute
right=203.86.61.172
rightsubnet=172.21.1.0/24
rightid=@right
# RSA 2192 bits right Sun Mar 11 02:17:24 2007
rightrsasigkey=0sAQO/ygUllGNfYd/3athFYSqb6GUdp18oMZ2LdOa3ToJCGATpJp6/C/0BpShGybNtb95kyKI63mVnWkYmN6NUW5qZJpMSnR5nWAVyHaNF1KbQ9j6ZhGLX0kRb80NNXPRCEpOCKDfqKtF0CbqghbqCtv2wV+gjt3MSO3d9WXWOT5xXJIwLohV+hA/rGrAMAz4Axcl9RudFnkKr3g0KYp86YktAPYJt8xBtqBFWdIO0WncWB3F/XpZKZdUMJ78M50yOHlBqOOnemkAnVfFFGCBJj27aheDFpp1QPhRdqjExsHK5mT3uKxJPehOqoJaIqcHMHJlBUxXNhGz5+T/AiaLkiwtbtHQjIWAtyUklbGUAql8EG1o9
rightnexthop=%defaultroute
auto=add

leftrsasigkey和rightrsasigkey这行,不要硬搬,因为这两行是我的机器上的,你的数值和我的不一样,可用下面方法输入。
在left服务器里。
        3. ipsec showhostkey --left >> /etc/ipsec.conf,注意一定要是 “>>”,不要输入成“>”。
        4. 再到right服务器里,
ipsec showhostkey   --right > rightrsasigkey.tmp
          5. scp ./rightrsasigkey.tmp root@left:/etc/rightrsasigkey.tmp
将在right服务器产生的rightrsasigkey.tmp文件,拷贝到left服务器的/etc/目录下
       6. 在left服务里,
cd /etc/
cat   rightrsasigkey.tmp >> /etc/ipsec.conf,注意一定要是 “>>”,不要输入成“>”。
        7. scp /etc/ipsec.conf   root@right:/etc/ipsec.conf
在 left服务器,将配置好的ipsec.conf拷贝到right服务器,这里做了这么多,其实就要要达到left和right两个服务器上的 ipsec.conf文件配置相同,而两台服务器产生rsasigkey值又不一样,当然你也可用复制、粘贴的方法输入rsasigkey的值,或许你有 更好的办法,目的就是在left服务器的ipsec.conf文件上要有right服务器的rsasigkey值,反之亦然。
      8. 校验ipsec
[root@right ~]# ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path                            [OK]
Linux Openswan 2.4.7 (klips)
Checking for IPsec support in kernel                         [OK]
Testing against enforced SElinux mode                          [OK]
Checking for RSA private key (/etc/ipsec.secrets)                [OK]
Checking that pluto is running                               [OK]
Two or more interfaces found, checking IP forwarding           [OK]
Checking NAT and MASQUERADEing                      [OK]
Checking for 'ip' command                                  [OK]
Checking for 'iptables' command                            [OK]
Opportunistic Encryption Support                            [DISABLED]

出现以上提示,你的VPN已经OK了,
       9. ipsec auto --up network-to-network
在两个服务器上运行以上命令,启动VPN。
      10.检查隧道建立情况,在right服务器上,
[root@right ~]# ipsec eroute
922        172.21.1.0/24    -> 176.20.1.0/24    =>
[root@right ~]#
在left服务器上,
[root@left ~]# ipsec eroute
915        176.20.1.0/24    -> 172.21.1.0/24    =>
[root@left ~]#
出现这两行,说明隧道已经建立了, 也可以用下面这个命令检查隧道,信息更丰富。
[root@right ~]# ipsec look
在172.21.1.0/24和176.20.1.0/24这两个局域网内,互相对ping,应该能ping通了。现在我们就能互相访问这两个局域网内的服务了。
  评论这张
 
阅读(277)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017