采用FreeBSD IPSec Tunnel方式连接两个局域网络

最新推荐文章于 2020-10-14 22:50:26 发布
最新推荐文章于 2020-10-14 22:50:26 发布
阅读量1k 收藏
点赞数
分类专栏: UNIX应用 文章标签: freebsd interface 网络 存储 防火墙 security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/johnathan/article/details/81276
版权

施永新 编译,原文引自:http://www.freebsddiary.org/ipsec-tunnel.php



在实际的工作中,经常遇到需要将处在不同地点的两个局域网络连接起来的要求。采用FreeBSD IPSec Tunnel方式可以方便的将两个局域网络连接起来,且具有很好的安全性。下面将用一个案例来讲述如何采用这种方式连接两个局域网络。



假设有如下的网络结构:

vpn
两台FreeBSD机器都分别配置为两个子网的防火墙,并对内核配置增加IPSec支持,相关的内核配置参数如下:



# IP security (crypto; define w/ IPSEC)

options IPSEC

options IPSEC_ESP

options IPSEC_DEBUG

# Generic tunnel interface

pseudo-device gif 4

# Berkeley packet filter used by dhcp server.
pseudo-device bpf 4
# Firewall flags

options IPFIREWALL

options IPDIVERT

options IPFILTER

options IPFILTER_LOG

重新编译内核。

为启动防火墙功能,/etc/rc.conf中加入如下的配置选项:

gateway_enable="YES"

defaultrouter="172.x.1.110" # 由接入服务商提供

firewall_enable="YES"

firewall_type="open"

natd_enable="YES"

natd_interface="rl0" # 根据机器网卡配置确定

named_enable="YES"

要进行两台FreeBSD机器之间的自动的IPSec key交换,必须安装port /usr/ports/.security/racoon,配置文件存储在/usr/local/etc/racoon/racoon.conf,key文件存储在/usr/local/etc/racoon/psk.txt。要在系统启动时启动/usr/local/sbin/racoon。

不需要修改配置文件,只需修改key文件即可,如下:

# /usr/local/etc/racoon/psk.txt

# IPv4/v6 addresses

#

192.168.1.1 foobar

192.168.2.1 foobar

key文件必须设置存储权限为0600,否则racoon无法运行;

#chown root.wheel /usr/local/etc/racoon/psk.txt

#chmod 0600 /usr/local/etc/raccoon/psk.txt

为了在启动时建立IPSec tunnel连接并添加两个内网的路由,可使用下面的shell脚本,存储在/usr/local/etc/rc.d/tunnel.sh

#!/bin/sh

#

BSD1_IP="192.168.1.1"

BSD1_PUB_IP="172.16.1.254"

BSD1_NET="192.168.1.0/24"

BSD2_IP="192.168.2.1"

BSD2_PUB_IP="172.17.1.254"

BSD2_NET="192.168.2.0/24"

GIF0="gif0 inet"

GIFCONFIG="/usr/sbin/gifconfig"

IFCONFIG="/sbin/ifconfig"

HOSTNAME=`/bin/hostname`

NETMASK="255.255.255.0"

echo "/nStarting ipsec tunnel... "


case $HOSTNAME in

bsd1.test.com)

$GIFCONFIG $GIF0 $BSD1_PUB_IP $BSD2_PUB_IP

$IFCONFIG $GIF0 $BSD1_IP $BSD2_IP netmask $NETMASK

/usr/sbin/setkey -FP

/usr/sbin/setkey -F

/usr/sbin/setkey -c << EOF

spdadd $BSD1_NET $BSD2_NET any -P out ipsec

esp/tunnel/${BSD1_PUB_IP}-${BSD2_PUB_IP}/require;

spdadd $BSD2_NET $BSD1_NET any -P in ipsec

esp/tunnel/${BSD2_PUB_IP}-${BSD1_PUB_IP}/require;

EOF

/sbin/route add $BSD2_NET $BSD1_IP

;;


bsd2.test.com)

$GIFCONFIG $GIF0 $BSD2_PUB_IP $BSD1_PUB_IP

$IFCONFIG $GIF0 $BSD2_IP $BSD1_IP netmask $NETMASK
/usr/sbin/setkey -FP
/usr/sbin/setkey -F
/usr/sbin/setkey -c << EOF
spdadd $BSD2_NET $BSD1_NET any -P out ipsec
esp/tunnel/${BSD2_PUB_IP}-${BSD1_PUB_IP}/require;
spdadd $BSD1_NET $BSD2_NET any -P in ipsec
esp/tunnel/${BSD1_PUB_IP}-${BSD2_PUB_IP}/require;
EOF
/sbin/route add $BSD1_NET $BSD2_IP
;;
esac

基本的配置完成。这样在系统启动时,自动交换key,并建立tunnel。

johnathan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
FreeBSD网络操作系统视频教程
07-23
教程名称:FreeBSD网络操作系统视频教程课程目录:【】Apachel服务器系列之一(楚广明网络教程之八)【】FreeBSD之Samba服务器(楚广明系列课程之五)【】FreeBSD基本文件配置(楚广明系列之二)【】freebsd安装(楚广明...
freebsd点到点的ipsec ***
weixin_34214500的博客
11-08 180
使用 FreeBSD 网关在两个被 Internet 分开的网络之间架设 ×××,以实现两个网络通过×××通道互访,IPsec 是一种建立在 Internet 协议 (IP) 层之上的协议,它能够让两个或更多主机以安全的方式来通讯,IPsec 既 可以用来直接加密主机之间的网络通讯 (也就是 传输模式); 也可以用来在两个子网之间建造 “虚拟隧道” 用于两个网络之...
FreeBSD IPsec mini-HOWTO (转)
csd3176的博客
12-09 228
FreeBSD IPsec mini-HOWTO (转)[@more@]Freebsd IPsec mini-HOWTO by Josh Tiefenbach <Mailto:[email protected]">...
freebsd ipsec 部署
逆雪寒的天坑
09-27 1125
A地:    内网: 192.168.1.243   外网: 293.3.3.4 B地:    内网: 192.168.10.243  外网:2.3.4.5 首先在 A 上: # ifconfig gif0 create # ifconfig gif
SIP协议(二)
b0303的博客
10-14 5755
语音编码,语音帧,会议室 (1)语音编码,语音帧 (2)补充会议室的抓包 语音编码 现主要有的语音编码有: G.711, G.723, G.726 , G.729, ILBC,QCELP, EVRC, AMR, SMV 各种编解码都有其应用的重点领域。 ITU 推出G.7XX系列的语音编码,目前广泛应用的有:G.711,G.723,G.726, G.729 在通话过程中语言编码协商主要是通过SDP的offer/answer模型来进行的,在SIP的体现则是invite和200 OK包。以200 OK包
采用FreeBSD IPSec Tunnel方式连接两个局域网络(转)
cuiji1279的博客
08-11 227
采用FreeBSD IPSec Tunnel方式连接两个局域网络(转)[@more@]   在实际的工作中,经常遇到需要将处在不同地点的两个局域网络连接起来的要求。采用FreeBSD IPSec Tunnel方式可以方便的将两...
网络常识(二)
weixin_34124651的博客
02-14 173
怎么做系统 先做bios第一驱动改为从光驱开始,确定你的光驱是第一启动顺序并支持从光驱启动首先,确定你的光驱是第一启动顺序并支持从光驱启动。 要从光盘安装,要把BIOS进行设置,使系统能够从光盘启动。其方法如下: (1)启动计算机,当屏幕上显示 Press Del to Enter BIOS Setup提示信息时,按下键盘上的Del键,进放主板BIOS...
FreeBSD网络配置
04-16
FreeBSD网络配置
六个系统安装方法及其应用.rar_Linux 安装_freebsd_solaris_系统安装_网络安装系统
09-14
六个系统安装方法及其应用(solaris,freebsd,linux,windows98,2k,xp) 从网络上搜集整理
VMware中FreeBSD系统采用NAT方式上网.docx
09-27
VMware中FreeBSD系统采用NAT方式上网.docx
FreeBSD配置网络
11-16
FreeBSD是专门为大型服务器使用的linux操作系统. 与redhat相比很多方面还有些许的不同.
SSH使用指南
08-22 2116
转贴自:http://freebsdchina.org 赛扬600介绍SSH 什么是SSH? 传统的网络服务程序,如:ftp、pop和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的,就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。所谓“中间人”的攻
Debian上安装轻量级入侵监测系统--转
02-15 1329
  document.title="Debian上安装轻量级入侵监测系统 - "+document.title首次尝试在debian上安装,过程非常简单。为了便于分析结果,还安装了ACID。以下简要说一下过程。首先安装apache+php4+mysql,apt-get install apache2 libapache2-mod-php4 php4 php4-mysql mysql-serve
FreeBSD 5.2.1R Web Server架设实例过程
10-24 1092
FreeBSD 5.2.1R Web Server架设实例过程willy 本文献给和我一样初次接触FreeBSD的朋友们。 我这个人比较倔,但是一直以来自信心还可以。由于想装一个web server,多方打听知道freebsd在这方面还比较强,于是下定决心准备搞一个自己的freebsd web server出来。 以前都是玩ms的windows系列,开始搞freebsd,当然有些摸不着
freebsd 网络按理
最新发布
07-27
\[1\]网络编程在FreeBSD中也是一个重要的领域,网络库的设计和网络编程细节是开发者需要了解的。然而,关于Golang网络库设计的文章相对较少,所以在解决业务实际问题时可能需要参考其他资料。\[2\]此外,FreeBSD还...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值