虚拟私有网络(VPN)隧道是通过Internet隧道技术将两个不同地理位置的网络安全的连接起来的技术。当两个网络是使用私有IP地址的私有局域网络时,它们之间是不能相互访问的,这时使用隧道技术就可以使得两个子网内的主机进行通讯。例如,VPN隧道技术经常被用于大型机构中不同办公区域子网的连接。
有时,使用VPN隧道仅仅是因为它很安全。服务提供商与公司会使用这样一种方式架设网络,他们将重要的服务器(如,数据库,VoIP,银行服务器)放置到一个子网内,仅仅让有权限的用户通过VPN隧道进行访问。如果需要搭建一个安全的VPN隧道,通常会选用IPsec,因为IPsec VPN隧道被多重安全层所保护。
这篇指导文章将会告诉你如何构建站点到站点的 VPN隧道。
拓扑结构
这边指导文章将按照以下的拓扑结构来构建一个IPsec 隧道。
安装软件包以及准备VPN服务器
一般情况下,你仅能管理A点,但是根据需求,你可能需要同时管理A点与B点。我们从安装Openswan软件开始。
基于Red Hat的系统(CentOS,Fedora,或RHEL):
# yum install openswan lsof
在基于Debian的系统(Debian,Ubuntu或Linux Mint):
# apt-get install openswan
现在禁用VPN的重定向功能,如果有服务器,可以执行下列命令:
# for vpn in /proc/sys/net/ipv4/conf/*;# do echo 0 > $vpn/accept_redirects;# echo 0 > $vpn/send_redirects;# done
接下来,允许IP转发并且禁重定向功能。
# vim /etc/sysctl.conf net.ipv4.ip_forward = 1net.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.all.send_redirects = 0
重加载 /etc/sysctl.conf文件:
# sysctl -p
在防火墙中启用所需的端口,并保证不与系统当前的规则冲突。
# iptables -A INPUT -p udp –dport 500 -j ACCEPT# iptables -A INPUT -p tcp –dport 4500 -j ACCEPT# iptables -A INPUT -p udp –dport 4500 -j ACCEPT
最后,我们为NAT创建防火墙规则。
# iptables -t nat -A POSTROUTING -s site-A-private-subnet -d site-B-private-subnet -j SNAT –to site-A-Public-IP
请确保上述防火墙规则是持久有效的(LCTT 译注:你可以save这些规则或加到启动脚本中)。
注意:准备配置文件
我们将要用来配置的第一个文件是ipsec.conf。不论你将要配置哪一台服务器,总是将你这端的服务器看成是左边的,,而将远端的看作是右边的。以下配置是在站点A的VPN服务器做的。
# vim /etc/ipsec.conf ## general configuration parameters ##config setupplutodebug=allplutostderrlog=/var/log/pluto.logprotostack=netkeynat_traversal=yesvirtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/16## disable opportunistic encryption in Red Hat ##oe=off## disable opportunistic encryption in Debian #### Note: this is a separate declaration statement ##include /etc/ipsec.d/examples/no_oe.conf## connection definition in Red Hat ##conn demo-connection-redhatauthby=secretauto=startike=3des-md5## phase 1 ##keyexchange=ike## phase 2 ##phase2=espphase2alg=3des-md5compress=nopfs=yestype=tunnelleft=<siteA-public-IP>leftsourceip=<siteA-public-IP>leftsubnet=<siteA-private-subnet>/netmask## for direct routing ##leftsubnet=<siteA-public-IP>/32leftnexthop=%defaultrouteright=<siteB-public-IP>rightsubnet=<siteB-private-subnet>/netmask## connection definition in Debian ##conn demo-connection-debianauthby=secretauto=start## phase 1 ##keyexchange=ike## phase 2 ##esp=3des-md5pfs=yestype=tunnelleft=<siteA-public-IP>leftsourceip=<siteA-public-IP>leftsubnet=<siteA-private-subnet>/netmask## for direct routing ##leftsubnet=<siteA-public-IP>/32leftnexthop=%defaultrouteright=<siteB-public-IP>rightsubnet=<siteB-private-subnet>/netmask
有许多方式实现身份验证。这里使用预共享密钥,并将它添加到文件 /etc/ipsec.secrets。
# vim /etc/ipsec.secrets siteA-public-IP siteB-public-IP: PSK “pre-shared-key”## in case of multiple sites ##siteA-public-IP siteC-public-IP: PSK “corresponding-pre-shared-key”
12下一页
查看其它分页:
与其用泪水悔恨今天,不如用汗水拼搏今天。
