2.11在/etc/ipsec.secrets中加入一行:: RSA vpnserver.rd.xxx.com.key "password",然后删除其他所有行 。其中的password是你前面生成密要的时候回答问题输入的密码 。
2.12编辑ipsec.conf文件类似下面的样子:
# basic configurationconfig setup interfaces=辠aultroute klipsdebug=none plutodebug=none plutoload=%search plutostart=%search uniqueids=yesconn 辠ault keyingtries=1 compress=yes disablearrivalcheck=no authby=rsasig leftrsasigkey=蝦t rightrsasigkey=蝦t left=辠aultroute leftcert=vpnserver.rd.xxx.com.pem auto=add pfs=yesconn roadwarrior right=%anyconn roadwarrior-net leftsubnet=192.168.1.0/255.255.255.0 right=%anyconn net-net leftsubnet=192.168.1.0/255.255.255.0 right=%any rightsubnet=192.168.10.0/255.255.255.0conn world-net leftsubnet=* right=%any rightsubnet=192.168.10.0/255.255.255.0
黑体字的部分是你需要根据你实际的环境更改的 。我们用的两端的子网是192.168.1.0/24和192.168.10.0/24 。文件中vpnserver.rd.xxx.com.pem是CA证书 。这个配置是通用的,也就是说可以适用LAN-LAN方式的俩接和远端客户端两种方式 。
2.13 下面配置分支机构的网关 。这个机器也要事先安装完全freeswan等软件 。
重新执行上面的2.7-2.9步骤生成分支机构的证书,注意:在回答问题的过程中,关于主机名称的部分的输入改变为你分支机构的网关机器名称,比如:vpncliet.rd.xxx.com 。
2.14 复制下列生成的文件到分支机构网关上的相应位置(比如通过软盘复制):
cp vpnserver.rd.xxx.com.pem /etc/ipsec.dcp vpnclient.rd.xxx.com.key /etc/ipsec.d/privatecp vpnclient.rd.xxx.com.pem /etc/ipsec.d执行命令:openssl x509 –in vpnclient.rd.xxx.com.pem –outform der –out /etc/x509cert.decp rootca.der /etc/ipsec.d/cacerts/RootCA.dercp crl.pem /etc/ipsec.d/crls
2.15 配置分支机构的/etc/ipsec.secrets 写上一行:
RSA vpnclient.rd.xxx.com.key "password" 。
其他行删除 。Password就是前面回答问题的时候输入的密码 。
2.16 配置/etc/ipsec.conf
# basic configurationconfig setup interfaces=辠aultroute klipsdebug=none plutodebug=none plutoload=%search plutostart=%search uniqueids=yesconn 辠ault keyingtries=0 compress=yes disablearrivalcheck=no authby=rsasig rightrsasigkey=蝦t leftrsasigkey=蝦t right=辠aultroute rightcert=vpnclient.rd.xxx.com.pem auto=add pfs=yesconn roadwarrior left=21.9.22.22 leftcert=vpnserver.rd.xxx.com.pemconn roadwarrior-net left=21.9.22.22 leftcert=vpnserver.rd.xxx.com.pem leftsubnet=192.168.1.0/255.255.255.0conn net-net left=21.9.22.22 leftcert=vpnserver.rd.xxx.com.pem leftsubnet=192.168.1.0/255.255.255.0 rightsubnet=192.168.10.0/255.255.255.0
其中黑体的部分是你可以根据实际情况修改的 。
2.17 首先启动server端的ipsec:ipsec setup restart,然后同样启动客户端的ipsec
2.18 建立通道:ipsec auto –up net-net然后在Server端可以用命令ipsec whack status应该可以看到新建立的几个通道 。此时,你在两个子网中应该可以互相ping 通 。
3、配置Frees.wan用于支持远程客户端访问 。也就是允许一个Windows客户端,来通过VPN和公司内部的网络进行通讯 。
第2种VPN玩法其实就是把分支机构的LAN换成一个单独的,地址不固定的机器 。这样的应用适合总经理出差的时候从外地ISP拨号上网连接到本部网络的情况 。期间,非但有认证,而且通过ISP和公网的数据全部是加密的 。这种方式在服务器端的配置和上面完全一样(记得吗?我们在行面给出的配置已经是兼顾了两种用法) 。这里需要做的是把总经理的笔记本配成VPN客户端 。他的笔记本应该是windows2000的并且升级到sp2 。
3.1 首先重复2.7-2.9步骤生成证书,其中有关主机名的部分可以输入你总经理的机器名 。类似于:win.rd.xxx.com 。当然,总经理的机器要是同名的 。
推荐阅读
- 一 Linux简明系统维护手册
- 二 Linux简明系统维护手册
- Linux环境下发现并阻止系统攻击
- linux内核的编译
- 三 Linux简明系统维护手册
- 四 Linux简明系统维护手册
- Linux远程启动
- 在Linux中制作VCD
- 寻找Linux下的网络邻居
- Linux 每次启动时钟日期就多了 8 小时