Linux.中国 - 开源社区

 找回密码
 骑士注册

QQ登录

微博登录


在Linux中使用Openswan搭建站点到站点的IPsec VPN 隧道

2014-11-14 15:13    评论: 17 收藏: 5 分享: 13    

启动服务并排除故障

目前,服务器已经可以创建站点到站点的VPN隧道了。如果你可以管理B站点,请确认已经为B服务器配置了所需的参数。对于基于Red Hat的系统,使用chkconfig命令以确定这项服务以设置为开机自启动。

 # /etc/init.d/ipsec restart 

如果所有服务器没有问题的话,那么可以打通隧道了。注意以下内容后,你可以使用ping命令来测试隧道。

  1. A点不可达B点的子网,当隧道没有启动时ping不通。
  2. 隧道启动后,在A点直接ping B点的子网IP,是可以ping通的。

并且,到达目的子网的路由也会出现在服务器的路由表中。(LCTT译注:这里“子网”指的是site-B,“服务器”指的是site-A)

 # ip route 

[siteB-private-subnet] via [siteA-gateway] dev eth0 src [siteA-public-IP]
default via [siteA-gateway] dev eth0

另外,我们可以使用命令来检测隧道的状态。

 # service ipsec status 

IPsec running  - pluto pid: 20754
pluto pid 20754
1 tunnels up
some eroutes exist

 # ipsec auto --status 

## output truncated ##
000 "demo-connection-debian":     myip=<siteA-public-IP>; hisip=unset;
000 "demo-connection-debian":   ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0; nat_keepalive: yes
000 "demo-connection-debian":   policy: PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW+SAREFTRACK+lKOD+rKOD; prio: 32,28; interface: eth0;

## output truncated ##
000 #184: "demo-connection-debian":500 STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 1653s; newest IPSEC; eroute owner; isakmp#183; idle; import:not set

## output truncated ##
000 #183: "demo-connection-debian":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 1093s; newest ISAKMP; lastdpd=-1s(seq in:0 out:0); idle; import:not set

日志文件/var/log/pluto.log记录了关于身份验证,密钥交换以及隧道处于不同时期的一些信息。如果你的隧道无法启动了,可以查看这个文档。

如果你确信所有配置都是正确的,但是你的隧道任然无法启动,那么你需要检查以下的事件。

  1. 很多ISP会过滤IPsec端口。确认你的网络ISP允许使用UDP 500, TCP/UDP 4500端口。你可以试着在远端通过telnet连接服务器的IPsec端口。
  2. 确认所用的端口在服务器防火墙规则中是允许的。
  3. 确认两端服务器的预共享密钥是一致的。
  4. 左边和右边的参数应该正确配置在两端的服务器上
  5. 如果你遇到的是NAT问题,试着使用SNAT替换MASQUERADING。

总结,这篇指导重点在于使用Openswan搭建站点到站点IPsec VPN的流程。管理员可以使用VPN使得一些重要的资源仅能通过隧道来获取,这对于加强安全性很有效果。同时VPN确保数据不被监听以及劫持。

希望对你有帮助。让我知道你的意。


via: http://xmodulo.com/2014/08/create-site-to-site-ipsec-vpn-tunnel-openswan-linux.html

作者:Sarmed Rahman 译者:SPccman 校对:wxy

本文由 LCTT 原创翻译,Linux中国 荣誉推出

12
查看其它分页:

发表评论


最新评论

我也要发表评论

albert-Y 2014-11-14 20:03  新浪微博网友评论
我不用这个,还是直接xl2tp!//@Linux中国:→_→//@Cth_framebuffer: 我是准备和基友用vpn建虚拟局域网联机。。//@相公12345:都是被逼的[蜡烛]//@Cth_framebuffer:马
回复
用户不存在ii 2014-11-14 18:03  新浪微博网友评论
@我的印象笔记
回复
老道1990 2014-11-14 17:33  新浪微博网友评论
@我的印象笔记
回复
opensource_电教 2014-11-14 17:03  新浪微博网友评论
@mywiz
回复
崔海斌DX 2014-11-14 16:33  新浪微博网友评论
这个是自己要搭建,我是要直接路由器连//@袁龙飞Zero: @崔海斌DX 看来很不少人很痛苦。//@Linux中国: →_→//@Cth_framebuffer: 我是准备和基友用vpn建虚拟局域网联机。。//@相公12345:都是被逼的[蜡烛]//@Cth_framebuffer:马
回复
氵沐 2014-11-14 16:03  新浪微博网友评论
转发微博.
回复
袁龙飞Zero 2014-11-14 16:03  新浪微博网友评论
@崔海斌DX 看来很不少人很痛苦。//@Linux中国: →_→//@Cth_framebuffer: 我是准备和基友用vpn建虚拟局域网联机。。//@相公12345:都是被逼的[蜡烛]//@Cth_framebuffer:马
回复
基连 2014-11-14 16:03  新浪微博网友评论
把人逼急了什么事都干得出来。//@Linux中国:→_→//@Cth_framebuffer: 我是准备和基友用vpn建虚拟局域网联机。。//@相公12345:都是被逼的[蜡烛]//@Cth_framebuffer:马
回复
Linux中国 2014-11-14 16:03  新浪微博网友评论
→_→//@Cth_framebuffer: 我是准备和基友用vpn建虚拟局域网联机。。//@相公12345:都是被逼的[蜡烛]//@Cth_framebuffer:马
回复
相公12345 2014-11-14 16:03  新浪微博网友评论
[哈哈]//@Cth_framebuffer:我是准备和基友用vpn建虚拟局域网联机。。//@相公12345:都是被逼的[蜡烛]//@Cth_framebuffer:马
回复
Cth_framebuffer 2014-11-14 16:03  新浪微博网友评论
我是准备和基友用vpn建虚拟局域网联机。。//@相公12345:都是被逼的[蜡烛]//@Cth_framebuffer:马
回复
开源新闻发布台 2014-11-14 15:33  新浪微博网友评论
很好。做过好几次了。
回复
相公12345 2014-11-14 15:33  新浪微博网友评论
都是被逼的[蜡烛]//@Cth_framebuffer:马
回复
AK9527lq 2014-11-14 15:33  新浪微博网友评论
@mywiz
回复
Cth_framebuffer 2014-11-14 15:33  新浪微博网友评论
回复
地址寻址器 2014-11-14 15:33  新浪微博网友评论
有空研究一下![耶]
回复
人生则有四方之志 2014-11-14 15:33  新浪微博网友评论
@没有账号可以注册
回复
返回顶部

分享到微信朋友圈

打开微信,点击底部的“发现”,
使用“扫一扫”将网页分享至朋友圈。