ginger
Рыжик | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Исходные данные: ALT Linux Master 2.2 FreeSWAN 1.99 2.2.3.1/29 - IP-адрес роутера провайдера. 2.2.3.2/29 - внешний IP-адрес ALT Linux Master 2.2. 192.168.1.0/24 - локальная сеть. Первым делом нам необходмо настроить FreeSWAN, каталог где расположены необходимые нам файлы находится здесь: /etc/freeswan # cd /etc/freeswan/ # ls -l total 2 -rw-r--r-- 1 root root 603 Jan 26 10:38 ipsec.conf -rw------- 1 root root 53 Jan 26 10:39 ipsec.secrets где, ipsec.conf файл конфигурации, ipsec.secrets файл содержащий информацию о ключе. Файл ipsec.conf должен выглядеть примерно следующим образом: # /etc/freeswan/ipsec.conf - FreeS/WAN IPsec configuration file config setup interfaces=%defaultroute klipsdebug=none plutodebug=none plutoload=%search plutostart=%search uniqueids=yes conn %default keyingtries=0 # disablearrivalcheck=no # authby=rsasig # leftrsasigkey=%dnsondemand # rightrsasigkey=%dnsondemand conn vpn1 type=tunnel left=1.2.3.2 leftsubnet=172.16.1.0/24 leftnexthop=1.2.3.1 right=2.2.3.2 rightsubnet=192.168.1.0/24 rightnexthop=2.2.3.1 authby=secret auth=esp esp=3des-md5-96 pfs=no auto=start Файл ipsec.secret должен выглядеть примерно следующим образом: # /etc/freeswan/ipsec.secret - FreeS/WAN IPsec secret file 2.2.3.2 1.2.3.2 : PSK "oursupersecretkey" Собственно на этом настройка FreeSWAN завершена. Теперь необходимо указать соответсвующие правила для брандмауэра чтобы обеспечить беспрепятственную работу VPN-туннеля. # Разрешаем прохождение трафика с/на 500 порт по протоколу UDP. iptables -A INPUT -p udp -i eth1 --sport 500 --dport 500 -j ACCEPT iptables -A OUTPUT -p udp -o eth1 --sport 500 --dport 500 -j ACCEPT # Разрешаем ESP протокол необходимый для шифрования и аутентификации. iptables -A INPUT -p 50 -i eth1 -j ACCEPT iptables -A OUTPUT -p 50 -o eth1 -j ACCEPT # Разрешаем хождение трафика через ipsec0, ipsec1, ipsec2 и т.д... интерфейсы. iptables -A INPUT -i ipsec+ -j ACCEPT iptables -A OUTPUT -o ipsec+ -j ACCEPT iptables -A FORWARD -i ipsec+ -j ACCEPT eth1 - это внешний интерфейс, который соединен с интернет шлюзом провайдера По мимо этого, необходимо отключить rp_filter, для того чтобы обеспечить нормальную работу IPSec. for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 0 > $f done После того как все выполнено мы можем перейти к настройке m0n0wall IPSec. Переходим в раздел VPN: "IPsec -> Tunnels" interface -> "WAN" Local subnet: Type: "LAN subnet" Remote subnet: 192.168.1.0 Remote gateway: 2.2.3.2 Description: ALT Linux VPN Phase 1 Negotiation mode -> Main My identifier: "My IP Address" Encryption algorithm -> 3DES Hash algorithm -> MD5 DH key group: "2" Pre-shared key: oursupersecretkey Phase 2 Protocol -> ESP Encryption algorithms -> 3DES Hash algorithms -> MD5 Сохраняем, затем ставим галочку на против Enable IPsec и жмем на "Save". В разделе Diagnostics: "Logs -> System" можно увидеть следующие: racoon: INFO: 127.0.0.1[500] used as isakmp port (fd=6) racoon: INFO: 192.168.4.254[500] used as isakmp port (fd=7) racoon: INFO: 192.168.3.254[500] used as isakmp port (fd=8) racoon: INFO: 1.2.3.2[500] used as isakmp port (fd=9) racoon: INFO: 172.16.1.254[500] used as isakmp port (fd=10) Для активации нашего VPN-туннеля необходимо на удаленном ALT Linux, запустить сервис ipsec, это можно выполнить командой: # service ipsec start Смотрим на результат: # tail /var/log/message ipsec_setup: Starting FreeS/WAN IPsec 1.99... ipsec_setup: Using /lib/modules/2.4.20-alt5-up/kernel/net/ipsec/ipsec.o kernel: klips_info:ipsec_init: KLIPS startup, FreeS/WAN IPSec version: 1.99 /etc/hotplug/net.agent: invoke ifup ipsec0 ipsec_setup: KLIPS debug `none' /etc/hotplug/net.agent: invoke ifup ipsec1 /etc/hotplug/net.agent: invoke ifup ipsec2 /etc/hotplug/net.agent: invoke ifup ipsec3 ipsec_setup: KLIPS ipsec0 on eth1 2.2.3.2/255.255.255.248 broadcast 2.2.3.7 ipsec_setup: ...FreeS/WAN IPsec started ipsec: ipsec setup succeeded ipsec__plutorun: 104 "vpn1" #1: STATE_MAIN_I1: initiate ipsec__plutorun: 003 "vpn1" #1: ignoring Vendor ID payload ipsec__plutorun: 106 "vpn1" #1: STATE_MAIN_I2: sent MI2, expecting MR2 ipsec__plutorun: 108 "vpn1" #1: STATE_MAIN_I3: sent MI3, expecting MR3 ipsec__plutorun: 004 "vpn1" #1: STATE_MAIN_I4: ISAKMP SA established ipsec__plutorun: 112 "vpn1" #2: STATE_QUICK_I1: initiate ipsec__plutorun: 004 "vpn1" #2: STATE_QUICK_I2: sent QI2, IPsec SA established # ipsec look 192.168.1.0/24 -> 172.16.1.0/24 => tun0x100d@1.2.3.2 esp0x4bc5295@1.2.3.2 (5) ipsec0->eth1 mtu=16260(1443)->1500 esp0x161f184@1.2.3.2 ESP_3DES_HMAC_MD5: dir=out src=2.2.3.2 iv_bits=64bits iv=0x083784cc77363d6d ooowin=64 seq=2628 alen=128 aklen=128 eklen=192 life(c,s,h)=bytes(318632,0,0)addtime(15647,0,0)usetime(1901,0,0)packets(2628,0,0) idle=1414 esp0x4bc5295@1.2.3.2 ESP_3DES_HMAC_MD5: dir=out src=2.2.3.2 iv_bits=64bits iv=0x7e70b6d253d1953e ooowin=64 seq=5 alen=128 aklen=128 eklen=192 life(c,s,h)=bytes(616,0,0)addtime(1316,0,0)usetime(1312,0,0)packets(5,0,0) idle=502 esp0x6130a396@2.2.3.2 ESP_3DES_HMAC_MD5: dir=in src=1.2.3.2 iv_bits=64bits iv=0x11db43afab67becd ooowin=64 seq=2743 bit=0xffffffffffffffff alen=128 aklen=128 eklen=192 life(c,s,h)=bytes(641607,0,0)addtime(15647,0,0)usetime(15232,0,0)packets(2743,0,0) idle=1588 esp0x6130a398@2.2.3.2 ESP_3DES_HMAC_MD5: dir=in src=1.2.3.2 iv_bits=64bits iv=0xe3ee06a2cb385326 ooowin=64 seq=6 bit=0x3f alen=128 aklen=128 eklen=192 life(c,s,h)=bytes(602,0,0)addtime(1316,0,0)usetime(1312,0,0)packets(6,0,0) idle=502 tun0x1009@2.2.3.2 IPIP: dir=in src=1.2.3.2 life(c,s,h)=bytes(641607,0,0)addtime(15647,0,0)usetime(15232,0,0)packets(2743,0,0) idle=1588 tun0x100a@1.2.3.2 IPIP: dir=out src=2.2.3.2 life(c,s,h)=bytes(228956,0,0)addtime(15647,0,0)usetime(1901,0,0)packets(2628,0,0) idle=1414 tun0x100c@2.2.3.2 IPIP: dir=in src=1.2.3.2 life(c,s,h)=bytes(602,0,0)addtime(1316,0,0)usetime(1312,0,0)packets(6,0,0) idle=502 tun0x100d@1.2.3.2 IPIP: dir=out src=2.2.3.2 life(c,s,h)=bytes(453,0,0)addtime(1316,0,0)usetime(1312,0,0)packets(5,0,0) idle=502 Destination Gateway Genmask Flags MSS Window irtt Iface 0.0.0.0 2.2.3.1 0.0.0.0 UG 0 0 0 eth1 172.16.1.0 2.2.3.1 255.255.255.0 UG 0 0 0 ipsec0 2.2.3.0 0.0.0.0 255.255.255.248 U 0 0 0 eth1 2.2.3.0 0.0.0.0 255.255.255.248 U 0 0 0 ipsec0 В разделе Diagnostics: "Logs -> System" можно увидеть следующие: racoon: INFO: IPsec-SA request for 2.2.3.2 queued due to no phase1 found. racoon: INFO: initiate new phase 1 negotiation: 1.2.3.2[500]<=>2.2.3.2[500] racoon: INFO: begin Identity Protection mode. racoon: INFO: ISAKMP-SA established 1.2.3.2[500]-2.2.3.2[500] spi:7e806a9ddc15b82d:64798000201142a6 racoon: INFO: initiate new phase 2 negotiation: 1.2.3.2[0]<=>2.2.3.2[0] /kernel: WARNING: pseudo-random number generator used for IPsec processing racoon: INFO: IPsec-SA established: ESP/Tunnel 2.2.3.2[0]->1.2.3.2[0] spi=79450773(0x4bc5295) racoon: INFO: IPsec-SA established: ESP/Tunnel 1.2.3.2[0]->2.2.3.2[0] spi=1630577560(0x6130a398) \>ping 192.168.1.1 Обмен пакетами с 192.168.1.1 по 32 байт: Ответ от 192.168.1.1: число байт=32 время=2мс TTL=126 Ответ от 192.168.1.1: число байт=32 время=8мс TTL=126 Ответ от 192.168.1.1: число байт=32 время=4мс TTL=126 Ответ от 192.168.1.1: число байт=32 время=18мс TTL=126 Статистика Ping для 192.168.1.1: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь), Приблизительное время приема-передачи в мс: Минимальное = 2мсек, Максимальное = 18 мсек, Среднее = 8 мсек На этом установку VPN-туннеля можно считать завершенной.
---------- Кто людям помогает, тот тратит время зря... Хорошими делами прославиться нельзя... |
| Всего записей: 854 | Зарегистр. 03-09-2001 | Отправлено: 10:21 27-01-2006 | Исправлено: ginger, 10:38 15-10-2007 |
|