快捷搜索:   服务器  安全  linux 安全  MYSQL  dedecms
笨牛网>服务器>Linux> > 架设Linux下最简单的VPN系统 >

架设Linux下最简单的VPN系统

发布者: hao 围观 点赞:0

VPN架设

本文是根据我公司的实际应用情况写的,但是稍加修改即可应用到很多地方,系统运行的两个月来,证明还是安全可靠稳定的,呵...

我公司在北京,但是主要设备都在南京电信的一个主要IDC里,那边有我们的两个PIX525UR(做了故障切换),上面做了严格的访问控制,因此,为了方便公司里的移动,出差及在家的员工办公,才有了做VPN系统的想法.好使具有相应权限的使用者从个人PC通过支持MPPE128的加密隧道连接至公司的VPN Server,再通过VPN Server将数据转发到南京IDC的我公司应用网络,其间的连接也是基于IPSEC的安全VPN隧道.由此可以保证我公司的所有应用需求的安全性和便捷性. 

1.硬件资源:服务器一台 

PIX 525UR防火墙一台 

2.软件资源:Mandrake 9.2 

kernelmod 

pptpd 

Super-freeswan 

iptables 

公网ip地址


注:我在测试了几种LINUX(包括Redhat,SuSE,Mandrake,Astaro)后,感觉Mandrake是最简单,最稳妥的平台.

下面就是安装过程:

1.操作系统安装:
安装过程无特殊要求,在选择安装组件的时候除开发工具外其它一概不选,主要是出于安全性考虑.

2.安装kernelmod: 

tar zxvf kernelmod-0.7.1.tar.gz 

cd /kernelmod 

./ kernelmod.sh


3.安装pptpd: 

①升级ppp 

rpm –Uvh ppp-2.4.2-0.1b3.i386.rpm 

②安装pptpd 

rpm –ivh pptpd-1.1.4-1b4.fr.i386.rpm


4.安装Super-freeswan:
rpm –ivh super-freeswan-1.99.8-8.2.100mdk.i586.rpm

5.升级iptables
rpm –Uvh iptables-1.2.8-12.i386.rpm

呵...至此,全部的安装过程就完成了,简单吧。
注:以上软件都可以在rpmfind.net找到!

下面是最主要的配置过程:

1.操作系统的配置:
①升级openssh
②关闭不需要的服务(sendmail isdn …)
③编辑/etc/sysctl.conf 

net.ipv4.ip_forward = 0=>1 

net.ipv4.conf.default.rp_filter = 1=>0


2.Pix配置文件(VPN部分): 

access-list inside_outbound_nat0_acl permit ip

"南京IP段" 255.255.255.0 "公司VPN用户的IP段" 255.255.255.0 

access-list outside_cryptomap_20 permit ip 

"南京IP段" 255.255.255.0 "公司VPN用户的IP段" 255.255.255.0 

nat (inside) 0 access-list inside_outbound_nat0_acl 

sysopt connection permit-ipsec 

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac 

crypto map outside_map 20 ipsec-isakmp 

crypto map outside_map 20 match address outside_cryptomap_20 

crypto map outside_map 20 set peer "VPN服务器的IP" 

crypto map outside_map 20 set transform-set ESP-3DES-MD5 

crypto map outside_map interface outside 

isakmp enable outside 

isakmp key "密码" address "VPN服务器的IP" netmask 

255.255.255.255 no-xauth no-config-mode 

isakmp identity address 

isakmp policy 20 authentication pre-share 

isakmp policy 20 encryption 3des 

isakmp policy 20 hash md5 

isakmp policy 20 group 2 

isakmp policy 20 lifetime 28800


3.PPtP配置 

①/etc/pptpd.conf 

speed 115200 

option /etc/ppp/options 

localip "公司VPN用户的网关(例如10.0.1.1)" 

remoteip "公司VPN用户的IP段(例如10.0.1.200-250)" 

②/etc/ppp/chap-secrets 

“用户名” "VPN服务器的IP" “密码” 10.0.1.20X (200<X<250) 

③/etc/ppp/options 

lock 

name "VPN服务器的IP" 

mtu 1490 

mru 1490 

proxyarp 

auth 

-chap 

-mschap 

 mschap-v2 

require-mppe 

ipcp-accept-local 

ipcp-accept-remote 

lcp-echo-failure 3 

lcp-echo-interval 5 

ms-dns X.X.X.X 

deflate 0


4.Super-freeswan配置
①/etc/freeswan/ipsec.conf 

# basic configuration 

config setup 

# THIS SETTING MUST BE CORRECT or almost nothing will work; 

# 辠aultroute is okay for most simple cases. 

interfaces="ipsec0=eth0" 

# Debug-logging controls: "none" for (almost) none, "all" for lots. 

klipsdebug=none 

plutodebug=none 

# Use auto= parameters in conn descriptions to control startup actions. 

plutoload=%search 

plutostart=%search 

# Close down old connection when new one using same ID shows up. 

uniqueids=yes 

nat_traversal=yes 



# defaults for subsequent connection descriptions 

# (these defaults will soon go away) 

conn 辠ault 

keyingtries=0 

disablearrivalcheck=no 

authby=rsasig 

#leftrsasigkey=%dnsondemand 

#rightrsasigkey=%dnsondemand 



conn pix 

left="VPN服务器的IP" 

leftnexthop="VPN服务器的网关" 

leftsubnet="公司VPN用户的IP段(例如10.0.1.0/32)" 

right="南京PIX525UR的IP" 

rightnexthop=%direct 

rightsubnet="南京IP段" 

authby=secret 

pfs=no 

auto=start


②/etc/freeswan/ipsec.secrets
"VPN服务器的IP" "南京PIX525UR的IP": PSK "密码"

5.iptables配置(样本),用以限制公司VPN用户的访问权限:
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.1.201/32 -d "南京IP段" -j MASQUERADE
service iptables save

注:1.添加用户名及修改密码 /etc/ppp/chap-secrets
2.用户权限设定 编辑修改iptables规则
3. 如果公司路由器上有access-list,则添加 permit 47 any host 219.238.213.244
4. 校验IPsec服务是否启动成功 ipsec verify
顶(0)
踩(0)
搜索相关内容】[打印] [关闭]

您可能还会对下面的文章感兴趣:

相关文章

最新评论