用Openswan组建Linux IPSec ---第二部分

转载 2013年12月11日 19:28:50

用Openswan组建Linux IPSec

                                                          -----Linux下建立IPSEC的VPN第二部分(续第一部分)

 四、下面我们给出使用RoadWarrior和使用证书的配置

#RoadWarrior(right)
conn road

    left=192.168.32.30

    leftnexthop=%defaultroute

    leftcert=vpn.pem

    leftid=@vpn

    right=192.168.32.29

    rightcert=ora92.pem

    rightsubnet=172.16.50.0/24

    rightid=@ora92

    pfs=yes

    auto=start

#Host(ora92)
conn road

    left=192.168.32.29

    leftcert=ora92.pem

    leftsubnet=172.16.50.0/24

    leftid=@ora92

    rightnexthop=%defaultroute

    right=%any

    rightcert=vpn.pem

    rightid=@vpn

    pfs=yes

    auto=start
使用上面的配制后在right主机上
    vpn#ping 172.16.50.18
   

五、基于预共享密钥认证方式Net-to-Net配置

1、配置/etc/ipsec.conf(左右网关的ipsec.conf配置一样)

version 2.0

config setup

nat_traversal=yes

nhelpers=0

include /etc/ipsec.d/examples/no_oe.conf

conn net

        auto=start

        right=192.168.32.30

        compress=no

        pfs=no

        left=192.168.32.29

        authby=secret

        ikelifetime=3600

        keylife=28800

        dpddelay=30

        dpdtimeout=120

        dpdaction=restart

        rekey=yes

        keyingtries=0

        rightsubnet=172.16.40.0/24

        leftsubnet=172.16.50/24

2、修改/etc/ipsec.secrets,左右网关上均加入如下行:

192.168.32.29 192.168.32.30 : PSK "123456"  

123456:为预共享密钥

 

六、Ipsec和l2tp配合使用

1、修改/etc/ipsec.conf加入

   conn L2TP

        auto=start

        right=192.168.32.29

        rightnexthop=%defaultroute

        compress=no

        pfs=no

        left=%any

        authby=secret

        ikelifetime=3600

        keylife=28800

        dpddelay=30

        dpdtimeout=120

        dpdaction=restart

        rekey=yes

        keyingtries=0

        rightprotoport=UDP/0

        leftprotoport=UDP/1701

2、修改/etc/ipsec.secrets加入如下一行:

192.168.32.29 %any : PSK "abcd1234"

  abcd1234:预共享密钥

   3、新建文件/etc/ppp/options.l2tp,加入如下:

ipcp-accept-local

ipcp-accept-remote

#ms-dns 202.106.0.20

#ms-dns 202.106.196.115

auth

crtscts

idle 1800

mtu 1200

mru 1200

nodefaultroute

debug

lock

proxyarp

connect-delay 5000

nologfd

   4、修改/etc/ppp/chap-secrets加入:

# Secrets for authentication using CHAP

# client        server  secret                  IP addresses

netsword        *       xiaobai     *

   5、修改/etc/l2tp/l2tp.conf加入:

       [global]

auth file = /etc/ppp/chap-secrets

 

[lns default]

exclusive = yes

ip range = 172.16.51.100-172.16.51.110  #拨入后分配的网址

local ip = 192.168.32.29

length bit = yes

require chap = yes

refuse pap = yes

require authentication = yes

pppoptfile = /etc/ppp/options.l2tp

6、启动ipsec和l2tp服务

#ipsec setup start

#/usr/local/bin/l2tp


七.Windows客户端的配置
    让windows客户端可以连接上Linux的IPSec网关是很有用的,毕竟桌面还是Windows比较的多。
    1)当然是让Openswan的主机运行正常运行起来,我们这里使用,上文最接近的那个road和road-net配置。同时要注意Windows的IPSec服务已经运行。
    2)生成证书
    生成新的主机密钥对win.pem和win.key,然后,我们需要把她转化成Windows可以识别的p12格式:
~/ca$ openssl pkcs12 -export -in win.pem -inkey win.key -certfile demoCA/cacert.pem -out win.p12
获得根证书的信息,记下来,下面要用到
subject= /C=CN/ST=Fujian/L=Xiamen/O=Jimei University/OU=Chengyi College/CN=jianqiu/emailAddress=jianqiu414@stu.jmu.edu.cn
    3)所需工具
http://vpn.ebootis.de/package.zip下载Marcus Müller的ipsec.exe工具,解压到一个目录中,本例使用d:\ipsec
~/ca$ openssl x509 -in demoCA/cacert.pem -noout -subject
得到如下的信息
    4)创建需要的控制台
    运行mmc->添加删除管理单元->添加->IP安全策略管理->选择本地计算机->完成;
    添加删除管理单元->添加->证书->计算机账户->本地计算机->完成。
    5)添加证书
    在刚才我们新建的工作台的证书上,选择个人->所以任务->导入,然后把win.p12导入即可。
    6)安装IPSec工具
    首先需要安装ipsecpol.exe(Windows 2000)或ipseccmd.exe(Windows XP,在Windows安装光盘的UPPORT\TOOLS目录下,setup选择完全安装),在http://support.microsoft.com/default.aspx?scid=kb;en-us;838079还有一片关于XP SP2的这些个附加工具的说明。
    随后编辑d:\ipsec\ipsec.conf文件,把我们上面得到的证书的信息填入rightca,也可以用mmc的证书页面查看,编辑好的ipsec.conf看起来是这个样子的。
conn roadwarrior
    left=%any
    right=192.168.49.2
    rightca="C=CN,S=Fujian,L=Xiamen,O=Jimei University,OU=Chengyi College,CN=jianqiu,E=jianqiu414@stu.jmu.edu.cn"
    network=auto
    auto=start
    pfs=yes

conn roadwarrior-net
    left=%any
    right=192.168.49.2
    rightsubnet=192.168.183.0/44
    rightca="C=CN,S=Fujian,L=Xiamen,O=Jimei University,OU=Chengyi College,CN=jianqiu,E=jianqiu414@stu.jmu.edu.cn"
    network=auto
    auto=start
    pfs=yes
如果,你想要加密所有和192.168.49.2的连接

conn roadwarrior-all
    left=%any
    right=192.168.49.2
    rightsubnet=*
    rightca="C=CN,S=Fujian,L=Xiamen,O=Jimei University,OU=Chengyi College,CN=jianqiu,E=jianqiu414@stu.jmu.edu.cn"
    network=auto
    auto=start
    pfs=yes

注意rightca不要写错,可以通过我们刚才的控制台,依次打开,“IP安全策略,在本地计算机”->FreeSwan-> “roadwarrior-Host filter list”->“身份验证方法”->“使用由此证书颁发机构(CA)颁发的证书”里的字段。

然后到d:\tools目录下,运行ipsec

IPSec Version 2.2.0 (c) 2001-2003 Marcus Mueller
Getting running Config ...
Microsoft's Windows XP identified
Usage: Ipsec [-off] [-delete] [-debug] [-nosleep]

D:\Tools\ipsec>ipsec
IPSec Version 2.2.0 (c) 2001-2003 Marcus Mueller
Getting running Config ...
Microsoft's Windows XP identified
Setting up IPSec ...

        Deactivating old policy...
        Removing old policy...

Connection roadwarrior:
        MyTunnel     : 192.168.49.1
        MyNet        : 192.168.49.1/255.255.255.255
        PartnerTunnel: 192.168.49.2
        PartnerNet   : 192.168.49.2/255.255.255.255
        CA (ID)      : C=CN,S=Fujian,L=Xiamen,O=Jimei University,OU=Cheng...
        PFS          : y
        Auto         : start
        Auth.Mode    : MD5
        Rekeying     : 3600S/50000K
        Activating policy...

Connection roadwarrior-net:
        MyTunnel     : 192.168.49.1
        MyNet        : 192.168.49.1/255.255.255.255
        PartnerTunnel: 192.168.49.2
        PartnerNet   : 192.168.183.0/255.255.255.0
        CA (ID)      : C=CN,S=Fujian,L=Xiamen,O=Jimei University,OU=Cheng...
        PFS          : y
        Auto         : start
        Auth.Mode    : MD5
        Rekeying     : 3600S/50000K
        Activating policy...
d:\ipsec>ping 192.168.49.2
看到
Negotiating IP Security.
后有回复,说明连接成功。

如果ipsec工具在你的系统上运行有问题,请确认你的rightca有没有填错。也可以尝试到sourceforge.net下载Linsys IPSec Tool项目的lsipsectool.exe。另外,如果系统是Windows XP SP2,还要注意NAT-T的问题。具体Windows运行IPsec客户端的注意事项可以查阅http://wiki.openswan.org/index.php/Win2K

相关文章推荐

用OpenSWAN做Linux下的IPSec VPN的详细配置指南

1.概述 2.安装Openswan 3.认证和配置     3.1 RSAsig认证方式的配置     3.2 x.509证书认证的配置     3.3 RoadWarrior模式的配置 ...
  • bytxl
  • bytxl
  • 2014年05月19日 09:09
  • 5745

使用openswan在Linux下构建IPSec VPN过程

http://www.codesky.net/article/200712/176453.html 前言: 反把复复尝试了很多次,在网上相关文档的指导下,终于实现了在RH Linux 9.0 (ker...
  • bytxl
  • bytxl
  • 2013年08月12日 21:36
  • 3070

openswan ipsec+l2tp VPN配置实例

  • 2009年12月29日 09:57
  • 15KB
  • 下载

基于openswan klips的IPsec VPN实现分析(二)数据接收

http://blog.csdn.net/rosetta/article/details/8494381 转载请注明出处:http://blog.csdn.net/rosetta   接收数据解密和...
  • bytxl
  • bytxl
  • 2013年09月09日 22:31
  • 719

ubuntu 10.4 使用 openswan 搭建 ipsec 基于RSA认证方式的环境搭建 排错记录

附上 虚拟器 加载共享文件 方式 sudo mount -t vboxsf down /mnt/share 其中 虚拟机用的 oracle 的 virtualbox 所以文件系统是  vbox...

基于openswan klips的IPsec VPN实现分析(六)应用层SADB操作

基于openswan klips的IPsec VPN实现分析(六)应用层SADB操作 转载请注明出处:http://blog.csdn.net/rosetta     这里的操作是指由open...
  • rosetta
  • rosetta
  • 2013年01月24日 17:10
  • 2421

基于openswan klips的IPsec VPN实现分析(八)内核SADB维护(2)

基于openswan klips的IPsec VPN实现分析(七)内核SADB维护2 转载请注明出处:http://blog.csdn.net/rosetta 内核完整的消息处理过程,以隧道模...
  • rosetta
  • rosetta
  • 2013年02月04日 09:27
  • 7355

基于openswan klips的IPsec VPN实现分析(十一)NAT穿越

基于openswan klips的IPsec VPN实现分析(十一)NAT穿越 转载请注明出处:http://blog.csdn.net/rosetta     本节介绍openswan kl...
  • rosetta
  • rosetta
  • 2013年02月21日 17:19
  • 2975

ubuntu 12.04 利用openswan实现ipsec vpn(lan-to-lan和host-to-lan)

看过很多教程,做过很多遍,终于能够明确buzh

基于openswan klips的IPsec VPN实现分析(九)加密算法维护

基于openswan klips的IPsec VPN实现分析(九)加密算法维护 转载请注明出处:http://blog.csdn.net/rosetta     本节将介绍klips加密算法的...
  • rosetta
  • rosetta
  • 2013年02月05日 16:09
  • 2419
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:用Openswan组建Linux IPSec ---第二部分
举报原因:
原因补充:

(最多只允许输入30个字)