本文是根據我公司的實際應用情況寫的,但是稍加修改即可應用到很多地方,系統運行的兩個月來,證明還是安全可靠穩定的,呵...
我公司在北京,但是主要設備都在南京電信的一個主要IDC裡,那邊有我們的兩個PIX525UR(做了故障切換),上面做了嚴格的訪問控制,因此,為了方便公司裡的移動,出差及在家的員工辦公,才有了做VPN系統的想法.好使具有相應權限的使用者從個人PC通過支持MPPE128的加密隧道連接至公司的VPN Server,再通過VPN Server將數據轉發到南京IDC的我公司應用網絡,其間的連接也是基於IPSEC的安全VPN隧道.由此可以保證我公司的所有應用需求的安全性和便捷性.
1.硬件資源:服務器一台
PIX 525UR防火牆一台
2.軟件資源:Mandrake 9.2
kernelmod
pptpd
Super-freeswan
iptables
公網ip地址
注:我在測試了幾種Linux(包括Redhat,SuSE,Mandrake,Astaro)後,感覺Mandrake是最簡單,最穩妥的平台.
下面就是安裝過程:
1.操作系統安裝:
安裝過程無特殊要求,在選擇安裝組件的時候除開發工具外其它一概不選,主要是出於安全性考慮.
2.安裝kernelmod:
tar zxvf kernelmod-0.7.1.tar.gz
cd /kernelmod
./ kernelmod.sh
3.安裝pptpd:
①升級ppp
rpm –Uvh ppp-2.4.2-0.1b3.i386.rpm
②安裝pptpd
rpm –ivh pptpd-1.1.4-1b4.fr.i386.rpm
4.安裝Super-freeswan:
rpm –ivh super-freeswan-1.99.8-8.2.100mdk.i586.rpm
5.升級iptables
rpm –Uvh iptables-1.2.8-12.i386.rpm
呵...至此,全部的安裝過程就完成了,簡單吧,
注:以上軟件都可以在互連網上找到!
下面是最主要的配置過程:
1.操作系統的配置:
①升級openssh
②關閉不需要的服務(sendmail isdn …)
③編輯/etc/sysctl.conf
net.ipv4.ip_forward = 0=>1
net.ipv4.conf.default.rp_filter = 1=>0
2.Pix配置文件(VPN部分):
Access-list inside_outbound_nat0_acl permit ip "南京IP段" 255.255.255.0 "公司VPN用戶的IP段" 255.255.255.0
access-list outside_cryptomap_20 permit ip "南京IP段" 255.255.255.0 "公司VPN用戶的IP段" 255.255.255.0
nat (inside) 0 access-list inside_outbound_nat0_acl
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer "VPN服務器的IP"
crypto map outside_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map interface outside
isakmp enable outside
isakmp key "密碼" address "VPN服務器的IP" netmask 255.255.255.255 no-xauth no-config-mode
isakmp identity address
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 28800
3.PPtP配置
①/etc/pptpd.conf
speed 115200
option /etc/ppp/options
localip "公司VPN用戶的網關(例如10.0.1.1)"
remoteip "公司VPN用戶的IP段(例如10.0.1.200-250)"
②/etc/ppp/chap-secrets
“用戶名” "VPN服務器的IP" “密碼” 10.0.1.20X (200
③/etc/ppp/options
lock
name "VPN服務器的IP"
mtu 1490
mru 1490
proxyarp
auth
-chap
-mschap
+mschap-v2
require-mppe
ipcp-accept-local
ipcp-accept-remote
lcp-echo-failure 3
lcp-echo-interval 5
ms-dns X.X.X.X
deflate 0
4.Super-freeswan配置
①/etc/freeswan/ipsec.conf
# basic configuration
config setup
# THIS SETTING MUST BE CORRECT or almost nothing will work;
# %defaultroute is okay for most simple cases.
interfaces="ipsec0=eth0"
# Debug-logging controls: "none" for (almost) none, "all" for lots.
klipsdebug=none
plutodebug=none
# Use auto= parameters in conn descriptions to control startup actions.
plutoload=%search
plutostart=%search
# Close down old connection when new one using same ID shows up.
uniqueids=yes
nat_traversal=yes
# defaults for subsequent connection descriptions
# (these defaults will soon go away)
conn %default
keyingtries=0
disablearrivalcheck=no
authby=rsasig
#leftrsasigkey=%dnsondemand
#rightrsasigkey=%dnsondemand
conn pix
left="VPN服務器的IP"
leftnexthop="VPN服務器的網關"
leftsubnet="公司VPN用戶的IP段(例如10.0.1.0/32)"
right="南京PIX525UR的IP"
rightnexthop=%direct
rightsubnet="南京IP段"
authby=secret
pfs=no
auto=start
②/etc/freeswan/ipsec.secrets
"VPN服務器的IP" "南京PIX525UR的IP": PSK "密碼"
5.iptables配置(樣本),用以限制公司VPN用戶的訪問權限:
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.1.201/32 -d "南京IP段" -j MASQUERADE
service iptables save
注:1.添加用戶名及修改密碼 /etc/ppp/chap-secrets
2.用戶權限設定 編輯修改iptables規則
3. 如果公司路由器上有access-list,則添加 permit 47 any host 219.238.213.244
4. 校驗IPsec服務是否啟動成功
ipsec verify