CentOS 6.5下Openswan实现双IDC互联
时间： 19:39:12
&&&& 阅读：149
&&&& 评论：
&&&& 收藏：0
标签：&&&&&&&&&&&&一、软件说明1、Openswan简介&&&&Openswan是Linux下IPsec的最佳实现方式，其功能强大，最大程度地保证了数据传输中的安全性、完整性问题。 & openswan支持2.0、2.2、2.4以及2.6内核，可以运行在不同的系统平台下，包括X86、X86_64、IA64、MIPS以及ARM。&&&&Openswan是开源项目FreeS/WAN停止开发后的后继分支项目,其分裂为两个项目，Openswan与 Strongswan，Openswan由三个主要组件构成：配置工具（ipsec命令脚本）、Key管理工具（pluto）、内核组件（KLIPS/26sec）26sec使用2.6内核内建模块Netkey，用来替代Openswan开发的KLIPS模块，2.4及以下版本内核无Netkey模块支持，只能使用KLIPS。如果你用的是2.6.9以上的内核，推荐使用26sec，可以不用给内核打Nat-T补丁就可以使用NAT，2.6.9以下版本内核的NETKEY存在Bug，推荐使用KLIPS。IPSec差不多是最老的VPN标准了，她的依然很安全，当然是在配置好以后。言下之意，她的配置比较麻烦。本文下面将做说明。&&&& 因为FreeS/WAN已经在2004年三月停止开发，所以我们使用她的后继项目Openswan来做我们的IPSec实验。其相比FreeS/WAN有个好处，如果使用 26sec 的时候，Openswan不用打补丁，就可以用nat。2、Openswan的安装&&& 因为IPSec工作在网络层，所以需要系统内核态的支持，上面说过，有两个选择，用自带(26sec)的或用Openswan(KLIPS)的，为了方便（如何打补丁和编译内核不是本文讨论的重点），本文使用CentOS源中编译好的Openswan来进行实验。# yum install openswan&&& 如果你想从源码安装，到http://www.openswan.org/code& 下载软件包，然后按照包中的说明安装。由于我们使用26sec，所以只要make install就可以搞定。值得注意的是，现在的Openswan已经内建些个好用的补丁，比如x.509和NAT Traversal的支持，使用起来非常的方便。你也可以用下面的命令来检验你的安装。# ipsec verify3、Openswan的认证方式&&&&&& Openswan支持许多不同的认证方式，包括 :RSA keys、 & (RSA Signature比较简单)pre-shared keys、xauth或x.509证书方式。.4、Openswan的连接方式：1)& Network-To-Network方式 & 本文重点是以此来完成企业需求的& Network-To-Network方式是把两个网络连接成一个虚拟专用网络。当连接建立后，每个子网的主机都可透明地访问远程子网的主机。要实现此种连接方式，要满足以下两个条件：&&& I. 每个子网各自拥有一台安装有OpenSWan的主机作为其子网的出口网关或者路由;&& II.每个子网的IP段不能有叠加(2)Road Warrior方式&&& 当使用Network-To-Network方式时，作为每个子网网关的主机(openswan server)不能像子网内部主机那样透明访问远程子网的主机，也就是说：如果你是一个使用LClient的移动用户，经常出差或是在不同的地点办公，你的LClient将不能用Network-To-Network方式与公司网络进行连接。Road Warrior方式正是为这种情况而设计的，连接建立后，你的LClient就可以连接到远程的网络了。(或者使用SSL vpn的开源产品openvpn来实现出差时候，远程拨号访问的需求)&& 更多详情请参见OpenSWan项目主页：http://www.openswan.org5、本文将从以下几点进行测试net-to-net模型 &**********1）基于pre-shared keys认证方式（PSK）2）基于RSA Signature认证方式(RSA数字签名)3）基于数字证书认证方式(x.509证书)4）基于XAUTH认证方式(IPSec/Xauth PSK)RoadWarrior5）基于pre-shared keys认证方式（PSK）6）基于RSA Signature认证方式(RSA数字签名)7）基于数字证书认证方式(x.509证书)8）基于XAUTH认证方式(IPSec/Xauth PSK)二、环境说明1、网络拓扑2、实验目的& 本使用目的是为了实现client1和client2两个不同地区不同子网的互通。即不同机房，不同网段的内网机器通信3、实验环境介绍&设备名称IP地址信息所属机房北京vpnserver1外网eth0& 192.168.2.48&&&& 桥接内网eth1& 192.168.183.1&&&& VMnet1网关 & & 192.168.2.1上海vpnserver2外网eth0& 192.168.2.111& & &桥接内网eth1& 192.168.233.1&&&& VMnet2网关 & & 192.168.2.1client1 & &---北京eth0&&&&& 192.168.183.44 & VMnet网关 & & &192.168.183.1 & & 说明，我使用的是网关路由模式，是client机器通过此网关来通信client2 & &----上海eth0 & & & 192.168.233.44 & VMnet4网关 & & & 192.168.233.1& & &我本地的网络是192.168.2.0/24网段，为了让VPNServer可以上网，我这边把VPNServer的eht0设定到了192.168.2.0/24网段，并且网卡设定为桥接，其他的网络安装上面表格配置好，这样我们就可以全部远程操作了,把每个主机的主机名修改好，这样便于我们观察。三、Openswan环境部署1、开启数据转发# vim /etc/sysctl.conf&net.ipv4.ip_forward = 1net.ipv4.conf.default.rp_filter = 02、关闭icmp重定向# sysctl -a | egrep "ipv4.*(accept|send)_redirects" | awk -F "=" ‘{print$1"= 0"}‘ && /etc/sysctl.conf# sysctl -p3、关闭SELinux# setenforce 04、安装openswan & &(两台vpnserve上面都是同样操作)# yum install openswan lsof -y# rpm -ql openswan&&&&& //查看安装了那些文件。# ipsec --version&&&&&& //查看ipsec的版本[ etc]# ipsec --version &Linux Openswan U2.6.32/K2.6.32-431.el6.x86_64 (netkey)See `ipsec --copyright‘ for copyright information.这里并没有加载任何的IPsec stack，当启动IPsec后会自动加载系统自带的netkey。[ etc]#service ipsec start[ etc]# ipsec verify & & & & //对ipsec进行验证(两台vpnserve上面都是同样操作)#################重要说明，如果前边的步骤没做安装文档完成，汇报一下错误，导致接下来的未知错误[ ~]# ipsec verifyChecking your system to see if IPsec got installed and started correctly:Version check and ipsec on-path & & & & & & & & & & & & & &
[OK]Linux Openswan U2.6.32/K(no kernel code presently loaded)Checking for IPsec support in kernel & & & & & & & & & & & & [FAILED]&SAref kernel support & & & & & & & & & & & & & & & & & & &
[N/A]Checking that pluto is running & & & & & & & & & & & & & & & [FAILED]& whack: Pluto is not running (no "/var/run/pluto/pluto.ctl")Two or more interfaces found, checking IP forwarding & & & & & & &[FAILED]& whack: Pluto is not running (no "/var/run/pluto/pluto.ctl")Checking NAT and MASQUERADEing & & & & & & & & & & & & & & & [OK]Checking for ‘ip‘ command & & & & & & & & & & & & & & & & &
[OK]Checking /bin/sh is not /bin/dash & & & & & & & & & & & & &
[OK]Checking for ‘iptables‘ command & & & & & & & & & & & & & &
[OK]cat: /etc/ipsec.d/examples/no_oe.conf: No such file or directorycat: /etc/ipsec.d/examples/no_oe.conf: No such file or directoryOpportunistic Encryption Support & &#################所以，&确保ipsec verify的结果都是如图所示方可继续接下来的配置我们可以看到openswan监听在UDP的500和4500两个端口，其中500是用来IKE密钥交换协商，4500的NAT-T是nat穿透的四、Openswan配置(network-to-network)1、基于pre-shared keys认证方式（PSK）在vpnserver1（）上面作如下修改，里面的配置参数很多，大家可以参照man ipsec.conf里面的讲解# vim /etc/ipsec.conf[ etc]# grep -Ev &‘#|^$‘ ipsec.conf.psk&config setup& & &protostack=netkey& & &nat_traversal=yes& & &virtual_private=& & &oe=offconn net-to-net& & &ike=aes256-sha2_256;modp2048& & &phase2alg=aes256-sha2_256;modp2048& & &authby=secret & & && & &type=tunnel& & &left=192.168.2.48& & &leftsubnet=192.168.183.0/24& & &&& & &leftnexthop=%defaultroute& & &right=192.168.2.111& & &rightsubnet=192.168.233.0/24& & && & &rightnexthop=%defaultroute& & &auto=add &/add代表只是添加，但并不会连接，如果为start则代表着启动自动连接.同样在另一台vpnserver2上面配置和vpnsever1一样的配置文件即：&scp ipsec.conf 192.168.2.111:/etc/ (两台vpnserve上面的ipsec.conf配置文件是一样的)[ etc]#& vim /etc/ipsec.secrets192.168.2.48 %any 0.0.0.0 : PSK "123"这个文件的格式为:“Local Ip address”& “remote ip address” : PSK “your key”在192.168.2.111（vpnserver2）上面修改成如下[ etc]#&vim /etc/ipsec.secrets192.168.2.111 %any 0.0.0.0 : PSK "123"重启两个vpn服务# service ipsec restart然后启动一下我们的con# ipsec auto --up net-to-net &（此处由于ipsec.conf中auto=add,所以需要手动添加）当我们看到ipsec sa estabilished,就证明我们连接成功了，也可以从中看到一些加密方法，密钥交换参数，我们也可以在配置文件里面添加如下信息进行修改。（记得保持同步到vpnserver2）ike=aes256-sha2_256;modp2048phase2alg=aes256-sha2_256;modp2048然后在clinet1上面去ping对端子网的设备,可以看到如下，但是VPNServer是不能ping通对方子网的设备的。client1上的操作：route add &default gw &192.168.183.1我们可以在任意VPNServer网关上面抓包，查看数据信息# tcpdump -i eth1 -nn# tcpdump -i eth0 -nn其中ESP（Encapsulating Security Payload）就是加密数据。echo request&echo &reply表明既可以发送请求，也可以收到回应包测试通过后，可以把连接配置中 auto=add&&&&& & & & & & &更改为： auto=start&这样当Openswan启动时就可自动进行连接。到此我们net-to-net基于psk模式的VPN就搭建成功了。########################################################################################二、基于RSA Signature认证方式(RSA数字签名)注：因为我是接着上面的实验进行操作，一直有问题无法解决，后来重新安装了一下，安装下面的流程一次就成功了。openswan的安装方式同本文刚开始安装一样，下面我们主要讲解配置的不同。下面提到的L-Server指的是192.168.2..48（VPNServer1），R-Server指的是192.168.2.111（VPNServer2）。在L-Server上面进行如下操作生成一个新的RSA密钥对# ipsec newhostkey --output /etc/ipsec.secrets（可以先不操作）因为这个生成过程太过缓慢，我们使用下面方面进行加速生成# rm -rf /dev/random# ln -s /dev/urandom /dev/random# ipsec newhostkey --output /etc/ipsec.secrets在R-Server上面执行一遍# rm -rf /dev/random# ln -s /dev/urandom /dev/random# ipsec newhostkey --output /etc/ipsec.secrets在L-Server上执行ipsec showhostkey --left得到L-Server的公钥# ipsec showhostkey --left在R-Server上执行ipsec showhostkey --right得到R-Server的公钥# ipsec showhostkey --right请记住这两个key，后面会用到，也可以使用重定向加到配置文件里面L-Sserver:编辑/etc/ipsec.conf文件# vim /etc/ipsec.conf# scp /etc/ipsec.conf 192.168.2.111:/etc &（同步到R-server上）# service ipsec restart# ipsec auto --up net-to-net当我们看到ipsec sa estabilished,就证明我们连接成功了测试通过后，可以把连接配置中 auto=add & && & & & & & &更改为： auto=start&# service ipsec restart测试：在一端client1去ping另一端的客户机client2，然后我们在vpnserver上面抓包查看。我们可以在任意VPNServer1网关上面抓包，查看数据信息# tcpdump -i eth1 -nn# tcpdump -i eth0 -nn此时一切测试成功之后&# chkconfig ipsec on基于RSA Signature认证方式(RSA数字签名)搭建完毕。本文出自 “” 博客，请务必保留此出处标签：&&&&&&&&&&&&原文：http://douya./4578
教程昨日排行
&&国之画&&&& &&&&&&
&& &&&&&&&&&&&&&&
鲁ICP备号-4
打开技术之扣，分享程序人生！1036人阅读
ipsec与openswan（36）
一、软件说明
1、Openswan简介
Openswan是Linux下IPsec的最佳实现方式，其功能强大，最大程度地保证了数据传输中的安全性、完整性问题。
Openswan支持2.0、2.2、2.4以及2.6内核，可以运行在不同的系统平台下，包括X86、X86_64、IA64、MIPS以及ARM。
Openswan是开源项目FreeS/WAN停止开发后的后继分支项目,其分裂为两个项目，Openswan与 Strongswan，Openswan由三个主要组件构成：配置工具（ipsec命令脚本）、Key管理工具（pluto）、
内核组件（KLIPS/26sec）
26sec使用2.6内核内建模块Netkey，用来替代Openswan开发的KLIPS模块，2.4及以下版本内核无Netkey模块支持，只能使用KLIPS。如果你用的是2.6.9以上的内核，推荐使用26sec，可以不用给内核打Nat-T补丁就可以使用NAT，2.6.9以下版本内核的NETKEY存在Bug，推荐使用KLIPS。IPSec差不多是最老的VPN标准了，她的依然很安全，当然是在配置好以后。言下之意，她的配置比较麻烦。本文下面将做说明。
因为FreeS/WAN已经在2004年三月停止开发，所以我们使用她的后继项目Openswan来做我们的IPSec实验。其相比FreeS/WAN有个好处，如果使用 26sec 的时候，Openswan不用打补丁，就可以用nat。
2、Openswan的安装
因为IPSec工作在网络层，所以需要系统内核态的支持，上面说过，有两个选择，用自带(26sec)的或用Openswan(KLIPS)的，为了方便（如何打补丁和编译内核不是本文讨论的重点），本文使用CentOS源中编译好的Openswan来进行实验。
# yum install&
如果你想从源码安装，到& 下载软件包，然后按照包中的说明安装。由于我们使用26sec，所以只要make install就可以搞定。值得注意的是，现在的Openswan已经内建些个好用的补丁，比如x.509和NAT Traversal的支持，使用起来非常的方便。你也可以用下面的命令来检验你的安装。
# ipsec verify
3、Openswan的认证方式
Openswan支持许多不同的认证方式，包括RSA keys、pre-shared keys、xauth或x.509证书方式。RSA Signature比较简单。
4、Openswan的连接方式：
1) &Network-To-Network方式
Network-To-Network方式是把两个网络连接成一个虚拟专用网络。当连接建立后，每个子网的主机都可透明地访问远程子网的主机。要实现此种连接方式，要满足以下两个条件：
I. 每个子网各自拥有一台安装有OpenSWan的主机作为其子网的出口网关或者路由;
II.每个子网的IP段不能有叠加
2) &Road Warrior方式
当使用Network-To-Network方式时，作为每个子网网关的主机不能像子网内部主机那样透明访问远程子网的主机，也就是说：如果你是一个使用LClient的移动用户，经常出差或是在不同的地点办公，你的LClient将不能用Network-To-Network方式与公司网络进行连接。Road Warrior方式正是为这种情况而设计的，连接建立后，你的LClient就可以连接到远程的网络了。
更多详情请参见OpenSWan项目主页：
5、本文将从以下几点进行测试
net-to-net模型
1）基于pre-shared keys认证方式（PSK）
2）基于RSA Signature认证方式(RSA数字签名)
3）基于数字证书认证方式(x.509证书)
4）基于XAUTH认证方式(IPSec/Xauth PSK)
RoadWarrior
5）基于pre-shared keys认证方式（PSK）
6）基于RSA Signature认证方式(RSA数字签名)
7）基于数字证书认证方式(x.509证书)
8）基于XAUTH认证方式(IPSec/Xauth PSK)
9）基于XAUTH认证方式(IPSec/Xauth RSA)
10）基于L2TP认证方式(L2TP/IPSec PSK)
11）基于L2TP认证方式(L2TP/IPSec RSA)
二、环境说明
1、网络拓扑
2、实验目的
本使用目的是为了实现client1和client2两个不同地区不同子网的互通。
3、实验环境介绍&
IP地址信息
外网eth0 &192.168.0.50 & & 桥接内网eth1 &192.168.20.1 & & VMnet4
网 & &关 &192.168.0.1
vpnserver2
外网eth0 &192.168.0.51 & & 桥接内网eth1 &192.168.10.1 & & VMnet5
网 & &关 &192.168.0.1
eth0 & & &192.168.20.2 & & VMnet4网关 & & &192.168.20.1
eth0 & & &192.168.10.2 & & VMnet5网关 & & &192.168.10.1
我本地的网络是192.168.0.0/24网段，为了让VPNServer可以上网，我这边把VPNServer的eht0设定到了192.168.0.0/24网段，并且网卡设定为桥接，其他的网络安装上面表格配置好，这样我们就可以全部远程操作了,把每个主机的主机名修改好，这样便于我们观察。
三、Openswan环境部署
1、开启数据转发
# vim&/etc/sysctl.conf
net.ipv4.ip_forward&=&1
net.ipv4.conf.default.rp_filter&=&0
2、关闭icmp重定向
# sysctl&-a&|&egrep&&ipv4.*(accept|send)_redirects&&|&awk -F&&=&&'{print$1&=&0&}'&&&&/etc/sysctl.conf
# sysctl -p
3、关闭SELinux
#&setenforce 0
4、安装openswan
# yum install openswan lsof -y
# rpm -ql openswan & & &//查看安装了那些文件。
# ipsec --version & & & //查看ipsec的版本
这里并没有加载任何的IPsec stack，当启动IPsec后悔自动加载系统自带的netkey。
# service ipsec start
# ipsec verify & & & & &//对ipsec进行验证
# netstat -anp
我们可以看到openswan监听在UDP的500和4500两个端口，其中500是用来IKE密钥交换协商，4500的NAT-T是nat穿透的。
四、Openswan配置(network-to-network)
1、基于pre-shared keys认证方式（PSK）
在192.168.0.50上面作如下修改，里面的配置参数很多，大家可以参照man ipsec.conf里面的讲解
# vim /etc/ipsec.conf
12345678910111213141516171819version 2.0 & &&config setup& & & & protostack=netkey & & &//使用2.6内核内建模块netkey，2.6以下是KLIPS模块&& & & & nat_traversal=yes & & &//NAT-T&即NAT穿越& & & & virtual_private=& & & & oe=off&conn net-to-net& & & & authby=secret & & & & &//使用预共享密钥方式进行认证& & & & type=tunnel& & & & left=192.168.0.50 & & &//一端IP地址& & & & leftsubnet=192.168.20.0/24 & & &//一端内网网段地址& & & & leftid=@test1 & & & & &//一端的标识符，可以任意填写，如果多个连接需要区分& & & & leftnexthop=%defaultroute& & & & right=192.168.0.51& & & & rightsubnet=192.168.10.0/24& & & & rightid=@test2& & & & rightnexthop=%defaultroute& & & & auto=add & & //add代表只是添加，但并不会连接，如果为start则代表着启动自动连接同样在另一台vpnserver上面配置，信息和上面一下，不需要做什么修改。#&vim /etc/ipsec.secrets192.168.0.50 %any 0.0.0.0 : PSK &123&这个文件的格式为:“Local Ip address” &“remote ip address” : PSK “your key”在192.168.0.51上面修改成如下#&vim /etc/ipsec.secrets192.168.0.51 %any 0.0.0.0 : PSK &123&重启两个vpn服务# service ipsec restart然后启动一下我们的con#&ipsec auto --up net-to-net当我们看到ipsec sa estabilished,就证明我们连接成功了，也可以从中看到一些加密方法，密钥交换参数，我们也可以在配置文件里面添加如下信息进行修改。ike=aes256-sha2_256;modp2048phase2alg=aes256-sha2_256;modp2048然后在clinet1上面去ping对端子网的设备,可以看到如下，但是VPNServer是不能ping通对方子网的设备的。我们可以在任意VPNServer网关上面抓包，查看数据信息# tcpdump -i eth0 -nn其中ESP（Encapsulating Security Payload）就是加密数据。测试通过后，可以把连接配置中auto=add & & 更改为：auto=start & 这样当Openswan启动时就可自动进行连接。到此我们net-to-net基于psk模式的VPN就搭建成功了。2、基于RSA Signature认证方式(RSA数字签名)注：因为我是接着上面的实验进行操作，一直有问题无法解决，后来重新安装了一下，安装下面的流程一次就成功了。openswan的安装方式同本文第三章节一样，下面我们主要讲解配置的不同。下面提到的L-Server指的是192.168.0.50（VPNServer1），R-Server指的是192.168.0.51（VPNServer2）。在L-Server上面进行如下操作生成一个新的RSA密钥对# ipsec newhostkey --output /etc/ipsec.secrets因为这个生成过程太过缓慢，我们使用下面方面进行加速生成#&rm&-rf&/dev/random#&ln&-s&/dev/urandom&/dev/random#&ipsec newhostkey --output /etc/ipsec.secrets以上内容同样的方法在R-Server上面执行一遍在L-Server上执行ipsec showhostkey --left得到L-Server的公钥#&ipsec showhostkey --left在R-Server上执行ipsec showhostkey --right得到R-Server的公钥#&ipsec showhostkey --right请记住这两个key，后面会用到，也可以使用重定向加到配置文件里面L-Sserver:编辑/etc/ipsec.conf文件# vim /etc/ipsec.conf
version2.0&&#
conforms to second version of ipsec.conf specification
configsetup
&&&&protostack=netkey
&&&&nat_traversal=yes
&&&&&virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
&&&&oe=off
connnet-to-net
&&&&left=192.168.0.50
&&&&leftsubnet=192.168.20.0/24
&&&&leftnexthop=%defaultroute
&&&&right=192.168.0.51
&&&&rightsubnet=192.168.10.0/24
&&&&rightnexthop=%defaultroute
&&&&auto=start
目前先增加这些内容，然后增加各自的公钥
#&ipsec showhostkey --left && /etc/ipsec.conf
下面把R-Server的公钥增加进来，可以在R-Server服务器上面复制粘贴到这里，整理好之后传到R-Server上面,这就完整的配置文件。
#&egrep -v &^$|^#|^[[:space:]]+#& /etc/ipsec.conf
# scp /etc/ipsec.conf 192.168.0.51:/etc
# service ipsec start
在一端client去ping另一端的客户机，然后我们在vpnserver上面抓包查看。
# tcpdump -i eth0 -nn
一切测试成功之后，我们修改ipsec.conf中的auto=add改为auto=start，让其自动建立隧道。
# chkconfig ipsec on
3、基于数字证书认证方式(x.509证书)
环境部署请看本文第三章节
x.509证书方式当然更灵活，要是VPN的客户比较多，总不能，每个都记住长长的rsasig吧。使用x.509证书认证，我们首先需要装上openssl（现在的Linux基本自带，没有的www.openssl.org下一个装上）。
首先我们要建立私有CA，然后对证书进行签署，这个过程请查看文章，我这里不在进行演示。
根据文章要求，我们建立好了CA及证书，创建的证书如下：
cakey.pem、cacert.prm、left.key、left.cert、right.key、right.cert.
为了简便操作，我们把上面所有证书传到两个server上面，然后进行如下操作：
在L-Server上面操作
#&mkdir /etc/ipsec.d/{private,certs,cacert}
#&cp left.crt right.crt /etc/ipsec.d/certs/
#&cp left.key /etc/ipsec.d/private/
#&cp cacert.pem /etc/ipsec.d/cacert/
在R-Server上面操作
#&mkdir /etc/ipsec.d/{private,certs,cacert}
#&cp left.crt right.crt /etc/ipsec.d/certs/
#&cp right.key /etc/ipsec.d/private/
#&cp cacert.pem /etc/ipsec.d/cacert/
证书放置好之后，我们下面就进行ipsec.conf配置文件的修改了
# vim /etc/ipsec.conf
version 2.0
config setup
interfaces=%defaultroute
nat_traversal=yes
protostack=netkey
conn net-to-net
leftrsasigkey=%cert
rightrsasigkey=%cert
keyingtries=1
left=192.168.0.50
leftid=@left
leftcert=left.cert
leftsubnet=192.168.20.0/24
right=192.168.0.51
rightid=@right
rightsubnet=192.168.10.0/24
rightcert=right.cert
未完待续…………
4、基于XAUTH认证方式(IPSec/Xauth PSK)
用的很少，因为配置起来很麻烦
四、Openswan配置(RoadWarrior模式)
1、基于pre-shared keys认证方式（PSK）
使用很少，因为很不安全
2、基于RSA Signature认证方式(RSA数字签名)
使用很少，因为很不方便记忆
3、基于数字证书认证方式(x.509证书)
未完待续…………
4、基于XAUTH认证方式(IPSec/Xauth PSK)
config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
protostack=netkey
nhelpers=0
conn IPSec-XAUTH-PSK
authby=secret
keyingtries=3
ikelifetime=8h
keylife=1h
type=transport
left=123.57.241.214
leftnexthop=%defaultroute
leftxauthserver=yes
leftxauthusername=yes
leftmodecfgserver=yes
right=%any
rightsubnet=192.168.10.0/24
rightnexthop=%defaultroute
rightxauthclient=yes
rightmodecfgclient=yes
rightxauthusername=yes
rightxauthpassword=yes
# cat /etc/ipsec.secrets
: PSK &123456a&
@test : XAUTH &123456&
5、基于XAUTH认证方式(IPSec/Xauth RSA)
用的非常少，并且大家是记不住这么长的密钥的
6、基于L2TP认证方式(L2TP/IPSec PSK)
1)软件的下载，请安装好epel源
# yum install openswan xl2tpd -y
2)修改openswan的配置
# vim /etc/ipsec.conf
把下面xx.xxx.xxx.xxx换成你自己VPS实际的外网固定IP。其他的不动。
123456789101112131415161718192021222324config setup&& nat_traversal=yes&& virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12&& oe=off&& protostack=netkey&& nhelpers=0&conn L2TP-PSK-NAT&& rightsubnet=vhost:%priv&& also=L2TP-PSK-noNAT&conn L2TP-PSK-noNAT&& authby=secret&& pfs=no&& auto=add&& keyingtries=3&& rekey=no&& ikelifetime=8h&& keylife=1h&& type=transport&& left=xxx.xxx.xxx.xxx&& leftprotoport=17/1701&& right=%any&& rightprotoport=17/%any配置ipsec.secrets12vim&/etc/ipsec.secretsxxx.xxx.xxx.xxx&%any:&PSK&&YourPsk&xx.xxx.xxx.xxx换成你自己VPS实际的外网固定IP, YourPsk你自己定一个，到时候连VPN的时候可以用，比如可以填123456a，注意空格。也可以直接写成这样，前面省略代表任何%any。:&PSK &YourPsk&3）修改/添加&/etc/sysctl.conf
net.ipv4.ip_forward&=&1
net.ipv4.conf.default.rp_filter&=&0
#&sysctl&-a&|&egrep&&ipv4.*(accept|send)_redirects&&|&awk -F&&=&&'{print$1&=&0&}'&&&&/etc/sysctl.conf
# sysctl -p
4)验证ipsec运行状态
# service ipsec start
# ipsec verify
selinux要记得关掉
5）配置xl2tpd
# vim /etc/xl2tpd/xl2tpd.conf
1234567891011121314151617require-mschap-v2ipcp-accept-localipcp-accept-remotems-dns&223.5.5.5ms-dns&114.114.114.114noccpauthcrtsctsidle&1800mtu&1410mru&1410nodefaultroutedebuglockproxyarpconnect-delay&5000logfile&/var/log/xl2tpd.log&6)配置xl2tpd.conf#&vim /etc/xl2tpd/xl2tpd.conf
listen-addr&=&123.57.241.214
auth&file&=&/etc/ppp/chap-secrets
[lns&default]
[lns&default]
ip&range&=&192.168.10.128-192.168.10.254
local&ip&=&192.168.10.99
assign&ip&=&yes
require&chap&=&yes
refuse&pap&=&yes
require&authentication&=&yes
name&=&openswanvpn
ppp&debug&=&yes
pppoptfile&=/etc/ppp/options.xl2tpd
length&bit&=&yes
7）开启地址伪装
# iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
8)启动服务
# service ipsec start
# service xl2tpd start
9)设备连接
手机的按照要求输入信息就可以了，手机上面选择l2tp或者ipsec\l2tp
windows7添加好之后，修改成如下，别忘记输入共享密钥
# tail -f /var/log/message
# ipsec status
# tail -f /var/log/xl2tpd.log
7、基于L2TP认证方式(L2TP/IPSec RSA)
这种方式和上面的配置信息差不多，只是使用证书进行验证，这种情况用的不是很多，所有我这里不再进行实验的验证了，主要是修改ipsec.conf配置文件以及创建证书，并在/etc/ipsec.d/目录下面创建证书目录
# vim /etc/ipsec.conf
config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
protostack=netkey
nhelpers=0
conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT
conn L2TP-PSK-noNAT
authby=rsasig
keyingtries=3
ikelifetime=8h
keylife=1h
type=transport
left=xxx.xxx.xxx.xxx
leftprotoport=17/1701
leftcert=left.cert
right=%any
rightprotoport=17/%any
rightcert=right.cert
# vim /etc/ipsec.secrets
: RSA client.key
: PSK &YourPSK&
&&相关文章推荐
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：1294658次
积分：17612
积分：17612
排名：第481名
原创：251篇
转载：1577篇
评论：33条
(15)(15)(73)(34)(33)(54)(70)(68)(59)(76)(55)(47)(29)(24)(65)(30)(24)(37)(24)(33)(41)(61)(75)(45)(41)(27)(41)(49)(32)(31)(39)(64)(10)(65)(39)(34)(30)(33)(27)(20)(23)(20)(24)(19)(15)(11)(7)(1)(3)(1)(3)(2)(7)(8)(5)(2)(4)(1)}