安装软件包和准备VPN服务器
通常情况下,你只要管理站点A,但是根据实际需要,你有可能同时管理站点A和站点B。我们先从安装Openswan开始入手。
在基于红帽的系统上(CentOS、Fedora或RHEL):
# yum install openswan lsof
在基于Debian的系统上(Debian、Ubuntu或Linux Mint):
# apt-get install openswan
现在,我们使用下面这些命令,禁用服务器中的VPN重定向,如果有VPN重定向的话:
# for vpn in /proc/sys/net/ipv4/conf/*;
# do echo 0 > $vpn/accept_redirects;
# echo 0 > $vpn/send_redirects;
# done
下一步,我们改动内核参数,允许IP转发、永久性禁止重定向。
# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
重新装入/etc/sysctl.conf:
# sysctl -p
我们开启防火墙的必要端口。务必确保规则与现有的防火墙规则没有冲突。
# iptables -A INPUT -p udp --dport 500 -j ACCEPT
# iptables -A INPUT -p tcp --dport 4500 -j ACCEPT
# iptables -A INPUT -p udp --dport 4500 -j ACCEPT
最后,我们为NAT创建防火墙规则。
# iptables -t nat -A POSTROUTING -s site-A-private-subnet -d site-B-private-subnet -j SNAT --to site-A-Public-IP
务必确保防火墙规则具有持续性。
注意:
•你可以使用MASQUERADE来代替SNAT。按道理来说它应该可以,但在过去导致我的虚拟专用服务器(VPS)出现过问题。所以,如果我是你,就会使用SNAT。
•如果你同时在管理站点B,就在站点B服务器中创建类似的规则。
•直接路由不需要SNAT。
准备配置文件
我们将要处理的第一个配置文件是ipsec.conf。无论你配置的是哪台服务器,总是将你的站点想成“left”,将远程站点想成“right”。下列配置在站点A的VPN服务器中完成。
# vim /etc/ipsec.conf
## 基本的配置参数##
config setup
plutodebug=all
plutostderrlog=/var/log/pluto.log
protostack=netkey
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/16
## 禁用红帽中的随机加密## oe=off
## 禁用Debian中的随机加密##
## 注意:这是一个单独的声明语句## include /etc/ipsec.d/examples/no_oe.conf
## 红帽中的连接定义## conn demo-connection-redhat
authby=secret
auto=start
ike=3des-md5
## 第1个阶段## keyexchange=ike
## 第2个阶段## phase2=esp
phase2alg=3des-md5
compress=no
pfs=yes
type=tunnel
left=<siteA-public-IP>
leftsourceip=<siteA-public-IP>
leftsubnet=<siteA-private-subnet>/netmask
## 针对直接路由## leftsubnet=<siteA-public-IP>/32
leftnexthop=%defaultroute
right=<siteB-public-IP>
rightsubnet=<siteB-private-subnet>/netmask
## Debian中的连接定义## conn demo-connection-debian
authby=secret
auto=start
## 第1个阶段 ## keyexchange=ike
## 第2个阶段 ## esp=3des-md5
pfs=yes
type=tunnel
left=<siteA-public-IP>
leftsourceip=<siteA-public-IP>
leftsubnet=<siteA-private-subnet>/netmask
## 针对直接路由## leftsubnet=<siteA-public-IP>/32
leftnexthop=%defaultroute
right=<siteB-public-IP>
rightsubnet=<siteB-private-subnet>/netmask
可以通过几种不同的方式来进行验证。本教程将探讨预共享密钥的使用,该密钥被添加到文件/etc/ipsec.secrets中。
# vim /etc/ipsec.secrets
siteA-public-IP siteB-public-IP: PSK "pre-shared-key" ## in case of multiple sites ## siteA-public-IP siteC-public-IP: PSK "corresponding-pre-shared-key"
开启服务和故障排查
服务器现在应该准备好建立站点到站点的VPN隧道了。要是你还管理站点B,务必确保已配置好了站点B服务器的必要参数。如果是基于红帽的系统,务必确保你使用chkconfig命令,将服务添加到启动项中。
# /etc/init.d/ipsec restart
要是两端的服务器都没有错误,现在隧道应该已建立起来。考虑到下列因素,你可以使用ping命令来测试隧道了。
1. 站点B专用子网应该无法从站点A来访问;也就是说,要是隧道未建立起来,ping应该不管用。
2. 隧道建立起来后,试着从站点A用ping连通站点B专用子网。这应该管用。
另外,通向目的地专用子网的路由应该出现在服务器的路由表中。
# ip route
[siteB-private-subnet] via [siteA-gateway] dev
eth0 src [siteA-public-IP]
default via [siteA-gateway] dev eth0
此外,我们可以使用下面这些实用命令,检查隧道的状态。
# service ipsec status
IPsec running - pluto pid: 20754
pluto pid 20754
1 tunnels up
some eroutes exist
# ipsec auto --status
## 输出被截断##
000 "demo-connection-debian": myip=<siteA-
public-IP>; hisip=unset;
000 "demo-connection-debian": ike_life: 3600s;
ipsec_life: 28800s; rekey_margin: 540s;
rekey_fuzz: 100%; keyingtries: 0; nat_keepalive:
yes
000 "demo-connection-debian": policy:
PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW+SAREFTRACK+lKOD+rKO
D; prio: 32,28; interface: eth0;
## 输出被截断##
000 #184: "demo-connection-debian":500
STATE_QUICK_R2 (IPsec SA established);
EVENT_SA_REPLACE in 1653s; newest IPSEC; eroute
owner; isakmp#183; idle; import:not set
## 输出被截断##
000 #183: "demo-connection-debian":500
STATE_MAIN_I4 (ISAKMP SA established);
EVENT_SA_REPLACE in 1093s; newest ISAKMP; lastdpd=-
1s(seq in:0 out:0); idle; import:not set
日志文件/var/log/pluto.log还应该含有验证、密钥交换方面的实用信息,以及隧道不同阶段方面的信息。要是你的隧道没有出现,还应该检查日志文件。.
如果你确信所有配置正确无误,如果你的隧道仍然没有出现,就应该检查下列方面。
- 1. 许多互联网服务提供商(ISP)对IPsec端口进行过滤。确保你的ISP允许UDP 500端口和TCP/UDP 4500端口。你可以通过telnet,试着从远程位置连接至你服务器的IPsec端口。
- 2. 确保服务器的防火墙中允许必要的端口。
- 3. 确保预共享密钥在两端的服务器中一模一样。
- 4. left和right参数在两端的服务器上都应该合理配置。
- 5. 如果你在NAT方面遇到了问题,试着使用SNAT,而不是MASQUERADING。