搜索
❏ 站外平台:

在Linux中使用Openswan搭建站点到站点的IPsec VPN 隧道

作者: Sarmed Rahman 译者: LCTT DoubleC

| 2014-11-14 15:13   评论: 17 收藏: 6 分享: 13    

启动服务并排除故障

目前,服务器已经可以创建站点到站点的VPN隧道了。如果你可以管理B站点,请确认已经为B服务器配置了所需的参数。对于基于Red Hat的系统,使用chkconfig命令以确定这项服务以设置为开机自启动。

 # /etc/init.d/ipsec restart 

如果所有服务器没有问题的话,那么可以打通隧道了。注意以下内容后,你可以使用ping命令来测试隧道。

  1. A点不可达B点的子网,当隧道没有启动时ping不通。
  2. 隧道启动后,在A点直接ping B点的子网IP,是可以ping通的。

并且,到达目的子网的路由也会出现在服务器的路由表中。(LCTT译注:这里“子网”指的是site-B,“服务器”指的是site-A)

 # ip route 

[siteB-private-subnet] via [siteA-gateway] dev eth0 src [siteA-public-IP]
default via [siteA-gateway] dev eth0

另外,我们可以使用命令来检测隧道的状态。

 # service ipsec status 

IPsec running  - pluto pid: 20754
pluto pid 20754
1 tunnels up
some eroutes exist

 # ipsec auto --status 

## output truncated ##
000 "demo-connection-debian":     myip=<siteA-public-IP>; hisip=unset;
000 "demo-connection-debian":   ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0; nat_keepalive: yes
000 "demo-connection-debian":   policy: PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW+SAREFTRACK+lKOD+rKOD; prio: 32,28; interface: eth0;

## output truncated ##
000 #184: "demo-connection-debian":500 STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 1653s; newest IPSEC; eroute owner; isakmp#183; idle; import:not set

## output truncated ##
000 #183: "demo-connection-debian":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 1093s; newest ISAKMP; lastdpd=-1s(seq in:0 out:0); idle; import:not set

日志文件/var/log/pluto.log记录了关于身份验证,密钥交换以及隧道处于不同时期的一些信息。如果你的隧道无法启动了,可以查看这个文档。

如果你确信所有配置都是正确的,但是你的隧道任然无法启动,那么你需要检查以下的事件。

  1. 很多ISP会过滤IPsec端口。确认你的网络ISP允许使用UDP 500, TCP/UDP 4500端口。你可以试着在远端通过telnet连接服务器的IPsec端口。
  2. 确认所用的端口在服务器防火墙规则中是允许的。
  3. 确认两端服务器的预共享密钥是一致的。
  4. 左边和右边的参数应该正确配置在两端的服务器上
  5. 如果你遇到的是NAT问题,试着使用SNAT替换MASQUERADING。

总结,这篇指导重点在于使用Openswan搭建站点到站点IPsec VPN的流程。管理员可以使用VPN使得一些重要的资源仅能通过隧道来获取,这对于加强安全性很有效果。同时VPN确保数据不被监听以及劫持。

希望对你有帮助。让我知道你的意。


via: http://xmodulo.com/2014/08/create-site-to-site-ipsec-vpn-tunnel-openswan-linux.html

作者:Sarmed Rahman 译者:SPccman 校对:wxy

本文由 LCTT 原创翻译,Linux中国 荣誉推出

LCTT 译者
DoubleC 🌟🌟
共计翻译: 10.0 篇 | 共计贡献: 126
贡献时间:2014-09-14 -> 2015-01-18
访问我的 LCTT 主页 | 在 GitHub 上关注我


返回顶部

分享到微信

打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。