dcsimg

建立IPSEC 虚拟专用网而不用担心

您可能已经准备好超越OpenVPN,但对IPSEC的学习曲线感到恐惧。有了我们的快速指南,您将立即免费启动Openswan,并开始运行。

 By 查理·舒丁(Charlie Schluting)
第1页,共2页

对于延迟敏感或高带宽要求,我们经常会发现 OpenVPN无法执行. 知识产权 SEC 是解决方案,但是使用IPSEC的障碍很大。这可能很难配置,并且初次接触 虚拟专用网 概念常常令人困惑。

通过解释了这些概念,使IPSEC正常工作的任务变得更加容易实现。同样,使用 OpenswanFreeS / WAN的分支和改进,使配置IPSEC变得非常有趣。

我们将解释如何创建网络到网络的连接,以便两个远程站点上的主机可以相互通信。如果在设置时遇到问题,请首先使用Openswan Wiki上的出色教程尝试主机到主机模式。

概念

要成功运行Openswan,您只需要四件事:

  1. 预共享密钥以使加密工作
  2. 知道 知识产权 两端的两个网关服务器的地址
  3. 知道 子网 两端网络的范围
  4. 图纸,如果这是您第一次

现在,您可以忽略第一个要求,因为Openswan使此变得很简单。

Openswan还负责添加路由表条目,因此,此列表实际上是基本的“使一个子网到达另一个子网”配置所需要的。配置完隧道后,Openswan将固有地知道哪个流量发往隧道另一侧的网络,并自动添加路由。当然,假设另一端的网关知道如何路由,则可以通过IPSEC隧道发送更多子网的流量。当其他一切正常时,只需添加与Openswan为您添加的路由相似的路由,即可为另一个网络添加路由。

配置IPSEC时,您需要绘制子网以及网关上的接口,并相应地标记它们。使用Openswan直观的左/右术语(因为这种性质的所有图都是二维的,而输入/输出或本地/远程对不同的人意味着不同的事物),请使用您自己的信息创建类似于下图的图:

知识产权 SEC配置图

配置Openswan时,左侧表示为Gateway A的站点称为“左侧”,右侧也称为“左侧”。

如何

现在我们准备好了。安装Openswan并找到其ipsec.conf文件。

如果密钥是由安装程序包生成的,则可以通过运行以下命令来检索它 ipsec showhostkey-左

我们将使用生成的密钥作为配置文件。相反,如果看到类似“ ipsec showhostkey:/etc/ipsec.secrets中没有默认密钥”的信息,则需要以根用户身份生成一个: ipsec newhostkey-输出/etc/ipsec.secrets

在即将成为VPN的另一侧重复该过程,现在您应该拥有两个密钥。

ipsec.conf文件在Openswan中确实非常简单。现在,我们将合并上面收集的所有信息。

#Openswan ipsec.conf
连接网关到网关B
左= 4.3.2.1
leftsubnet = 10.1.0.0 / 24
[email protected]
leftrsasigkey = 0sAQNe ...
leftnexthop =%默认路由
正确= 1.2.3.4
rightsubnet = 10.2.0.0 / 24
[email protected]
rightrsasigkey = 7xoprFh ...
rightnexthop =%默认路由
自动=开始

“ left”和“ right”声明是网关路由器的外部可访问IP地址。 “ leftid”是计算机的主机名。

将此文件复制到网关B,您就可以在两端启动隧道了: ipsec auto --up网关A至网关B

当然,快速测试是从网关A ping网关B的外部IP。您将在路由表中注意到一条路由,该路由将此流量以及流量通过隧道定向到已定义的rightsubnet。如果启用了IP转发(可能已启用),因为这些机器都已经是路由器,则现在可以尝试ping通远程子网中的主机。

那当然并不难。您也可以在同一配置文件中定义更多连接。它们通过leftid和rightid参数来区分,从而使您可以在多个主机上使用单个配置。

本文最初于2009年10月28日发布
通过网络更新新闻获取最新消息