十分鐘配置Openswan
Openswan是什麼,做什麼用,我這裡不想再說,實在不知道的,就google一下了。理論的上知識也請google,這裡呢只想按照1、2、4、 5、6、7這種死步驟配置,保證能配通就OK了。因為網上的這類資料也多也全,只不過呢新手看上去有點困難,也不容易配置成功吧。
一、 系統安裝。
1、 下載軟件
cd /usr/local/src
我喜歡把程序下載到這個目錄。
wget http://www.openswan.org/download/openswan-2.4.7.tar.gz
不過建議在windows下載,再拷貝到linunx系統下去,這樣比較快。
2、 tar zxvf openswan-2.4.7.tar.gz
3、 cd /usr/local/src/openswan-2.4.7
4、 make programs
5、 make install
6、 export KERNELSRC=/usr/src/kernels/2.6.9-11.EL-i686
我的核心文件是放在這裡,你的放在什麼位置要自己先確定好,這條不要硬搬。
7、 make module
8、 make minstall
9、 depmod -a
10、 modprobe ipsec
11、 echo “1” > /proc/sys/net/ipv4/ip_forward
12、 echo “0” > /selinux/enforce
好了,安裝完畢。
檢查安裝情況
# ipsec --version
Linux Openswan 2.4.7 (klips)
See `ipsec --copyright' for copyright information.
出現以上提示,安裝成功。
二、 配置
主要配置文件有兩個,ipsec.conf、ipsec.secrets。
在這裡我們看看網絡拓樸圖,網絡一服務器的內網接eth0接口,地址是172.21.1.1,外網接eth1接口,地址是203.86.61.172,主機是left,下連172.21.1.0/24這個局域網。網絡二服務器的內網接eth0接口,地址是176.20.1.1,外網接eth1接口,地址是 203.86.61.173,主機是right,下連176.20.1.0/24這個局域網。
1、 ipsec newhostkey –output /etc/ipsec.secrets
在左、右服務器裡,分別執行以上命令。
2、 vi /etc/ipsec.conf,內容如下,比照下面文件,修改和增加,其實要改和增加的地方並不多,有“#”的都是注釋,不用管。
# /etc/ipsec.conf - Openswan IPsec configuration file
# RCSID $Id: ipsec.conf.in,v 1.15.2.6 2006/10/19 03:49:46 paul Exp $
# This file: /usr/local/share/doc/openswan/ipsec.conf-sample
#
# Manual: ipsec.conf.5
version 2.0 # conforms to second version of ipsec.conf specification
# basic configuration
config setup
# plutodebug / klipsdebug = "all", "none" or a combation from below:
# "raw crypt parsing emitting control klips pfkey natt x509 private"
# eg: plutodebug="control parsing"
#
# ONLY enable plutodebug=all or klipsdebug=all if you are a developer !!
#
# NAT-TRAVERSAL support, see README.NAT-Traversal
interfaces=%defaultroute
nat_traversal=yes
# virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
#
# enable this if you see "failed to find any available worker"
nhelpers=0
# Add connections here
conn %default
authby=rsasig
compress=yes
# sample VPN connections, see /etc/ipsec.d/examples/
#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf
conn network-to-network
left=203.86.61.173
leftsubnet=176.20.1.0/24
leftid=@left
# RSA 2192 bits left Tue Mar 13 14:55:48 2007
leftrsasigkey=0sAQPW/s8yMYIAPS97rK2JESc0ZOMrcuE2sFSdsfh++JGe97t7m1As+QPiVyLP6KuWlLBjIJzwvpUbipiCmKjmNKXZ+eS0dtAw1faVpVxa+7DJLgAnHjyafYW3SxXRF/xEp0HBckJNeGtjJheqtmWggUa6WejjhPNosmA7Zyj07ikW05JZYvUNf2uFBBupRMC0kwmFRpdah2IiDSecOy57LkACS6AFhX60PTh0Eip1N0cJUXjbrS95KudcPYsXpw6bKQbHl/Vku+0RfqIfZ2tXXcqj5OKJSeMp1fh6Bt+zh8T5qPZJNvU19xJufdSDQmaxI4XaGHwKmA1KIBotVS4F+0DVn0mvDIf1HfF/YNsKPiI9diJn
leftnexthop=%defaultroute
right=203.86.61.172
rightsubnet=172.21.1.0/24
rightid=@right
# RSA 2192 bits right Sun Mar 11 02:17:24 2007
rightrsasigkey=0sAQO/ygUllGNfYd/3athFYSqb6GUdp18oMZ2LdOa3ToJCGATpJp6/C/0BpShGybNtb95kyKI63mVnWkYmN6NUW5qZJpMSnR5nWAVyHaNF1KbQ9j6ZhGLX0kRb80NNXPRCEpOCKDfqKtF0CbqghbqCtv2wV+gjt3MSO3d9WXWOT5xXJIwLohV+hA/rGrAMAz4Axcl9RudFnkKr3g0KYp86YktAPYJt8xBtqBFWdIO0WncWB3F/XpZKZdUMJ78M50yOHlBqOOnemkAnVfFFGCBJj27aheDFpp1QPhRdqjExsHK5mT3uKxJPehOqoJaIqcHMHJlBUxXNhGz5+T/AiaLkiwtbtHQjIWAtyUklbGUAql8EG1o9
rightnexthop=%defaultroute
auto=add
leftrsasigkey和rightrsasigkey這行,不要硬搬,因為這兩行是我的機器上的,你的數值和我的不一樣,可用下面方法輸入。
在left服務器裡。
3、 ipsec showhostkey --left >> /etc/ipsec.conf,注意一定要是 “>>”,不要輸入成“>”。
4、 再到right服務器裡,
ipsec showhostkey --right > rightrsasigkey.tmp
5、 scp ./rightrsasigkey.tmp root@left:/etc/rightrsasigkey.tmp
將在right服務器產生的rightrsasigkey.tmp文件,拷貝到left服務器的/etc/目錄下
6、 在left服務裡,
cd /etc/
cat rightrsasigkey.tmp >> /etc/ipsec.conf,注意一定要是 “>>”,不要輸入成“>”。
7、 scp /etc/ipsec.conf root@right:/etc/ipsec.conf
在left服務器,將配置好的ipsec.conf拷貝到right服務器,這裡做了這麼多,其實就要要達到left和right兩個服務器上的 ipsec.conf文件配置相同,而兩台服務器產生rsasigkey值又不一樣,當然你也可用復制、粘貼的方法輸入rsasigkey的值,或許你有更好的辦法,目的就是在left服務器的ipsec.conf文件上要有right服務器的rsasigkey值,反之亦然。
8、 校驗ipsec
[root@right ~]# ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan 2.4.7 (klips)
Checking for IPsec support in kernel [OK]
Testing against enforced SElinux mode [OK]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is running [OK]
Two or more interfaces found, checking IP forwarding [OK]
Checking NAT and MASQUERADEing [OK]
Checking for 'ip' command [OK]
Checking for 'iptables' command [OK]
Opportunistic Encryption Support [DISABLED]
出現以上提示,你的VPN已經OK了,
9、 ipsec auto --up network-to-network
在兩個服務器上運行以上命令,啟動VPN。
10、檢查隧道建立情況,在right服務器上,
[root@right ~]# ipsec eroute
922 172.21.1.0/24 -> 176.20.1.0/24 =>
[email protected]
[root@right ~]#
在left服務器上,
[root@left ~]# ipsec eroute
915 176.20.1.0/24 -> 172.21.1.0/24 =>
[email protected]
[root@left ~]#
出現這兩行,說明隧道已經建立了, 也可以用下面這個命令檢查隧道,信息更豐富。
[root@right ~]# ipsec look
在172.21.1.0/24和176.20.1.0/24這兩個局域網內,互相對ping,應該能ping通了。現在我們就能互相訪問這兩個局域網內的服務了。這可是真實環境配置哦。
