• 当前位置: 主页 > Linux安装教程 > 系统设置 >

    架设linux下最简单的VPN系统

    时间:2018-05-23 21:00来源:网络整理 作者:Linux先生 举报 点击:
      
    我公司在北京,但是主要设备都在南京电信的一个主要IDC里,那边有我们的两个PIX525UR(做了故障切换),上面做了严格的访问控制,因此,为了方便公司里的移动,出差及在

        本文是根据我公司的实际应用情况写的,但是稍加修改即可应用到很多地方,系统运行的两个月来,证明还是安全可靠稳定的,呵... 

        我公司在北京,但是主要设备都在南京电信的一个主要IDC里,那边有我们的两个PIX525UR(做了故障切换),上面做了严格的访问控制,因此,为了方便公司里的移动,出差及在家的员工办公,才有了做VPN系统的想法.好使具有相应权限的使用者从个人PC通过支持MPPE128的加密隧道连接至公司的VPN Server,再通过VPN Server将数据转发到南京IDC的我公司应用网络,其间的连接也是基于IPSEC的安全VPN隧道.由此可以保证我公司的所有应用需求的安全性和便捷性. 

        1.硬件资源:服务器一台

        PIX 525UR防火墙一台 

        2.软件资源:

        Mandrake 9.2 
        kernelmod 
        pptpd 
        Super-freeswan 
        iptables 
        公网ip地址 

        注:我在测试了几种LINUX(包括Redhat,SuSE,Mandrake,Astaro)后,感觉Mandrake是最简单,最稳妥的平台. 


        下面就是安装过程:

    1.操作系统安装: 

        安装过程无特殊要求,在选择安装组件的时候除开发工具外其它一概不选,主要是出于安全性考虑. 

        2.安装kernelmod:

    tar zxvf kernelmod-0.7。1.tar.gz cd /kernelmod ./ kernelmod.sh

    3.安装pptpd:

        ①升级ppp

    rpm –Uvh ppp-2.4.2-0.1b3.i386.rpm

      ②安装pptpd

    rpm –ivh pptpd-1.1.4-1b4.fr.i386.rpm

    4.安装Super-freeswan:

    rpm –ivh super-freeswan-1。99.8-8。2.100mdk.i586.rpm

    5.升级iptables

    rpm –Uvh iptables-1.2。8-12.i386.rpm

    至此,全部的安装过程就完成了,以上软件都可以在rpmfind.net找到!

    下面是最主要的配置过程:

        1.操作系统的配置:

        ①升级openssh
        ②关闭不需要的服务(sendmail isdn …)
        ③编辑/etc/sysctl.conf  

    net。ipv4。ip_forward =0=>1 net.ipv4.conf.default。rp_filter =1=>0

    2.Pix配置文件(VPN部分):

    access-list inside_outbound_nat0_acl permit ip "南京IP段"255.255.255.0"公司VPN用户的IP段"255.255.255。0 access-list outside_cryptomap_20 permit ip "南京IP段"255。255。255.0"公司VPN用户的IP段"255.255.255.0 nat (inside) 0 access-list inside_outbound_nat0_acl sysopt connection permit-ipsec crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto map outside_map 20 ipsec-isakmp crypto map outside_map 20 match address outside_cryptomap_20 crypto map outside_map 20set peer "VPN服务器的IP" crypto map outside_map 20set transform-set ESP-3DES-MD5 crypto map outside_map interface outside isakmp enable outside isakmp key "密码" address "VPN服务器的IP" netmask 255.255.255.255 no-xauth no-config-mode isakmp identity address isakmp policy 20 authentication pre-share isakmp policy 20 encryption 3des isakmp policy 20 hash md5 isakmp policy 20 group 2 isakmp policy 20 lifetime 28800

    3.PPtP配置

        ①/etc/pptpd.conf

    speed 115200 option /etc/ppp/options localip "公司VPN用户的网关(例如10.0.1.1)" remoteip "公司VPN用户的IP段(例如10.0.1.200-250)"

    ②/etc/ppp/chap-secrets

    “用户名” "VPN服务器的IP" “密码” 10.0.1.20X (200<X<250)

    ③/etc/ppp/options

    lock name "VPN服务器的IP" mtu 1490 mru 1490 proxyarp auth -chap -mschap +mschap-v2 require-mppe ipcp-accept-local ipcp-accept-remote lcp-echo-failure 3 lcp-echo-interval 5 ms-dns X.X.X.X deflate 0

    4.Super-freeswan配置

    ①/etc/freeswan/ipsec.conf

    # basic configuration config setup # THIS SETTING MUST BE CORRECT or almost nothing will work; # %defaultroute is okay for most simple cases。 interfaces="ipsec0=eth0" # Debug-logging controls: "none"for (almost) none, "all"for lots。 klipsdebug=none plutodebug=none # Use auto= parameters in conn descriptions to control startup actions. plutoload=%search plutostart=%search # Close down old connection when new one using same ID shows up. uniqueids=yes nat_traversal=yes # defaults for subsequent connection descriptions # (these defaults will soon go away) conn %default keyingtries=0 disablearrivalcheck=no authby=rsasig #leftrsasigkey=%dnsondemand #rightrsasigkey=%dnsondemand conn pix left="VPN服务器的IP" leftnexthop="VPN服务器的网关" leftsubnet="公司VPN用户的IP段(例如10.0.1.0/32)" right="南京PIX525UR的IP" rightnexthop=%direct rightsubnet="南京IP段" authby=secret pfs=no auto=start

    ②/etc/freeswan/ipsec.secrets

    "VPN服务器的IP""南京PIX525UR的IP": PSK "密码"

    5.iptables配置(样本),用以限制公司VPN用户的访问权限:

    iptables -t nat -A POSTROUTING -o eth0 -s 10.0。1.201/32-d "南京IP段"-j MASQUERADE service iptables save

        注:

        1.添加用户名及修改密码 /etc/ppp/chap-secrets 
        2.用户权限设定 编辑修改iptables规则 
        3. 如果公司路由器上有access-list,则添加    permit 47 any host 219.238.213.244 
        4. 校验IPsec服务是否启动成功     ipsec verify

    ------分隔线----------------------------
    推荐内容
  • PK10牛牛 德国时时彩 山东群英会app 澳洲幸运8 山东群英会出号走势图 吉林快3计划 澳洲幸运10开奖结果 北京两步彩走势图 幸运飞艇官网 安徽快3走势