ginger
Рыжик | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Исходные данные:
ALT Linux Master 2.2
FreeSWAN 1.99
2.2.3.1/29 - IP-адрес роутера провайдера.
2.2.3.2/29 - внешний IP-адрес ALT Linux Master 2.2.
192.168.1.0/24 - локальная сеть.
Первым делом нам необходмо настроить FreeSWAN, каталог где расположены необходимые нам файлы находится здесь: /etc/freeswan
# cd /etc/freeswan/
# ls -l
total 2
-rw-r--r-- 1 root root 603 Jan 26 10:38 ipsec.conf
-rw------- 1 root root 53 Jan 26 10:39 ipsec.secrets
где, ipsec.conf файл конфигурации, ipsec.secrets файл содержащий информацию о ключе.
Файл ipsec.conf должен выглядеть примерно следующим образом:
# /etc/freeswan/ipsec.conf - FreeS/WAN IPsec configuration file
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes
conn %default
keyingtries=0
# disablearrivalcheck=no
# authby=rsasig
# leftrsasigkey=%dnsondemand
# rightrsasigkey=%dnsondemand
conn vpn1
type=tunnel
left=1.2.3.2
leftsubnet=172.16.1.0/24
leftnexthop=1.2.3.1
right=2.2.3.2
rightsubnet=192.168.1.0/24
rightnexthop=2.2.3.1
authby=secret
auth=esp
esp=3des-md5-96
pfs=no
auto=start
Файл ipsec.secret должен выглядеть примерно следующим образом:
# /etc/freeswan/ipsec.secret - FreeS/WAN IPsec secret file
2.2.3.2 1.2.3.2 : PSK "oursupersecretkey"
Собственно на этом настройка FreeSWAN завершена.
Теперь необходимо указать соответсвующие правила для брандмауэра чтобы обеспечить беспрепятственную работу VPN-туннеля.
# Разрешаем прохождение трафика с/на 500 порт по протоколу UDP.
iptables -A INPUT -p udp -i eth1 --sport 500 --dport 500 -j ACCEPT
iptables -A OUTPUT -p udp -o eth1 --sport 500 --dport 500 -j ACCEPT
# Разрешаем ESP протокол необходимый для шифрования и аутентификации.
iptables -A INPUT -p 50 -i eth1 -j ACCEPT
iptables -A OUTPUT -p 50 -o eth1 -j ACCEPT
# Разрешаем хождение трафика через ipsec0, ipsec1, ipsec2 и т.д... интерфейсы.
iptables -A INPUT -i ipsec+ -j ACCEPT
iptables -A OUTPUT -o ipsec+ -j ACCEPT
iptables -A FORWARD -i ipsec+ -j ACCEPT
eth1 - это внешний интерфейс, который соединен с интернет шлюзом провайдера
По мимо этого, необходимо отключить rp_filter, для того чтобы обеспечить нормальную работу IPSec.
for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do
echo 0 > $f
done
После того как все выполнено мы можем перейти к настройке m0n0wall IPSec.
Переходим в раздел VPN: "IPsec -> Tunnels"
interface -> "WAN"
Local subnet: Type: "LAN subnet"
Remote subnet: 192.168.1.0
Remote gateway: 2.2.3.2
Description: ALT Linux VPN
Phase 1
Negotiation mode -> Main
My identifier: "My IP Address"
Encryption algorithm -> 3DES
Hash algorithm -> MD5
DH key group: "2"
Pre-shared key: oursupersecretkey
Phase 2
Protocol -> ESP
Encryption algorithms -> 3DES
Hash algorithms -> MD5
Сохраняем, затем ставим галочку на против Enable IPsec и жмем на "Save".
В разделе Diagnostics: "Logs -> System" можно увидеть следующие:
racoon: INFO: 127.0.0.1[500] used as isakmp port (fd=6)
racoon: INFO: 192.168.4.254[500] used as isakmp port (fd=7)
racoon: INFO: 192.168.3.254[500] used as isakmp port (fd=8)
racoon: INFO: 1.2.3.2[500] used as isakmp port (fd=9)
racoon: INFO: 172.16.1.254[500] used as isakmp port (fd=10)
Для активации нашего VPN-туннеля необходимо на удаленном ALT Linux, запустить сервис ipsec, это можно выполнить командой:
# service ipsec start
Смотрим на результат:
# tail /var/log/message
ipsec_setup: Starting FreeS/WAN IPsec 1.99...
ipsec_setup: Using /lib/modules/2.4.20-alt5-up/kernel/net/ipsec/ipsec.o
kernel: klips_info:ipsec_init: KLIPS startup, FreeS/WAN IPSec version: 1.99
/etc/hotplug/net.agent: invoke ifup ipsec0
ipsec_setup: KLIPS debug `none'
/etc/hotplug/net.agent: invoke ifup ipsec1
/etc/hotplug/net.agent: invoke ifup ipsec2
/etc/hotplug/net.agent: invoke ifup ipsec3
ipsec_setup: KLIPS ipsec0 on eth1 2.2.3.2/255.255.255.248 broadcast 2.2.3.7
ipsec_setup: ...FreeS/WAN IPsec started
ipsec: ipsec setup succeeded
ipsec__plutorun: 104 "vpn1" #1: STATE_MAIN_I1: initiate
ipsec__plutorun: 003 "vpn1" #1: ignoring Vendor ID payload
ipsec__plutorun: 106 "vpn1" #1: STATE_MAIN_I2: sent MI2, expecting MR2
ipsec__plutorun: 108 "vpn1" #1: STATE_MAIN_I3: sent MI3, expecting MR3
ipsec__plutorun: 004 "vpn1" #1: STATE_MAIN_I4: ISAKMP SA established
ipsec__plutorun: 112 "vpn1" #2: STATE_QUICK_I1: initiate
ipsec__plutorun: 004 "vpn1" #2: STATE_QUICK_I2: sent QI2, IPsec SA established
# ipsec look
192.168.1.0/24 -> 172.16.1.0/24 => tun0x100d@1.2.3.2 esp0x4bc5295@1.2.3.2 (5)
ipsec0->eth1 mtu=16260(1443)->1500
esp0x161f184@1.2.3.2 ESP_3DES_HMAC_MD5: dir=out src=2.2.3.2 iv_bits=64bits iv=0x083784cc77363d6d ooowin=64 seq=2628 alen=128 aklen=128 eklen=192 life(c,s,h)=bytes(318632,0,0)addtime(15647,0,0)usetime(1901,0,0)packets(2628,0,0) idle=1414
esp0x4bc5295@1.2.3.2 ESP_3DES_HMAC_MD5: dir=out src=2.2.3.2 iv_bits=64bits iv=0x7e70b6d253d1953e ooowin=64 seq=5 alen=128 aklen=128 eklen=192 life(c,s,h)=bytes(616,0,0)addtime(1316,0,0)usetime(1312,0,0)packets(5,0,0) idle=502
esp0x6130a396@2.2.3.2 ESP_3DES_HMAC_MD5: dir=in src=1.2.3.2 iv_bits=64bits iv=0x11db43afab67becd ooowin=64 seq=2743 bit=0xffffffffffffffff alen=128 aklen=128 eklen=192 life(c,s,h)=bytes(641607,0,0)addtime(15647,0,0)usetime(15232,0,0)packets(2743,0,0) idle=1588
esp0x6130a398@2.2.3.2 ESP_3DES_HMAC_MD5: dir=in src=1.2.3.2 iv_bits=64bits iv=0xe3ee06a2cb385326 ooowin=64 seq=6 bit=0x3f alen=128 aklen=128 eklen=192 life(c,s,h)=bytes(602,0,0)addtime(1316,0,0)usetime(1312,0,0)packets(6,0,0) idle=502
tun0x1009@2.2.3.2 IPIP: dir=in src=1.2.3.2 life(c,s,h)=bytes(641607,0,0)addtime(15647,0,0)usetime(15232,0,0)packets(2743,0,0) idle=1588
tun0x100a@1.2.3.2 IPIP: dir=out src=2.2.3.2 life(c,s,h)=bytes(228956,0,0)addtime(15647,0,0)usetime(1901,0,0)packets(2628,0,0) idle=1414
tun0x100c@2.2.3.2 IPIP: dir=in src=1.2.3.2 life(c,s,h)=bytes(602,0,0)addtime(1316,0,0)usetime(1312,0,0)packets(6,0,0) idle=502
tun0x100d@1.2.3.2 IPIP: dir=out src=2.2.3.2 life(c,s,h)=bytes(453,0,0)addtime(1316,0,0)usetime(1312,0,0)packets(5,0,0) idle=502
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 2.2.3.1 0.0.0.0 UG 0 0 0 eth1
172.16.1.0 2.2.3.1 255.255.255.0 UG 0 0 0 ipsec0
2.2.3.0 0.0.0.0 255.255.255.248 U 0 0 0 eth1
2.2.3.0 0.0.0.0 255.255.255.248 U 0 0 0 ipsec0
В разделе Diagnostics: "Logs -> System" можно увидеть следующие:
racoon: INFO: IPsec-SA request for 2.2.3.2 queued due to no phase1 found.
racoon: INFO: initiate new phase 1 negotiation: 1.2.3.2[500]<=>2.2.3.2[500]
racoon: INFO: begin Identity Protection mode.
racoon: INFO: ISAKMP-SA established 1.2.3.2[500]-2.2.3.2[500] spi:7e806a9ddc15b82d:64798000201142a6
racoon: INFO: initiate new phase 2 negotiation: 1.2.3.2[0]<=>2.2.3.2[0]
/kernel: WARNING: pseudo-random number generator used for IPsec processing
racoon: INFO: IPsec-SA established: ESP/Tunnel 2.2.3.2[0]->1.2.3.2[0] spi=79450773(0x4bc5295)
racoon: INFO: IPsec-SA established: ESP/Tunnel 1.2.3.2[0]->2.2.3.2[0] spi=1630577560(0x6130a398)
\>ping 192.168.1.1
Обмен пакетами с 192.168.1.1 по 32 байт:
Ответ от 192.168.1.1: число байт=32 время=2мс TTL=126
Ответ от 192.168.1.1: число байт=32 время=8мс TTL=126
Ответ от 192.168.1.1: число байт=32 время=4мс TTL=126
Ответ от 192.168.1.1: число байт=32 время=18мс TTL=126
Статистика Ping для 192.168.1.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 2мсек, Максимальное = 18 мсек, Среднее = 8 мсек
На этом установку VPN-туннеля можно считать завершенной.
----------
Кто людям помогает, тот тратит время зря... Хорошими делами прославиться нельзя... |
|
Всего записей: 854 | Зарегистр. 03-09-2001 | Отправлено: 10:21 27-01-2006 | Исправлено: ginger, 10:38 15-10-2007 |
|
