当前位置: 首页 > 图文教程 > 服务器 > Linux服务器 > 高手进阶Linux架设最简单的VPN系统

Linux服务器
中小企业服务器配置-邮件服务器(1)
中小企业服务器配置-邮件服务器(2)
典型WEB服务器Apache高级设置指南
从HTTP服务器状态代码分析
基于反向代理的Web缓存加速现代理服务器
在ApacheHTTPD服务器中使用DSO完全分析
组网不求人!搭建简易Linux局网服务器
基于NUMA架构的高性能服务器技术(1)
基于NUMA架构的高性能服务器技术(2)
复制另一台Linux服务器及相关问题
Linux服务器之间怎么样SSH不需密码
Rsync在服务器间镜像或者备份目录
服务器诊所:鲜为人知但很有用的观念
服务器诊所:并不是仅仅就是线程化而已
服务器诊所:PDF自动生成专业质量输出
用低代价的服务器过程将文档处理自动化
设置一个企业级的LinuxPOP3服务器
WEB服务器Apache编译指南及高级技巧
给Qmail邮件服务器加个病毒防火墙
LinuxCVS服务器与WinCVS的配置与使用

Linux服务器 中的 高手进阶Linux架设最简单的VPN系统


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-18   浏览: 71 ::
收藏到网摘: n/a

公司在北京,但是主要设备都在南京电信的一个主要IDC里,那边有我们的两个PIX525UR(做了故障切换),上面做了严格的访问控制,因此,为了方便公司里的移动,出差及在家的员工办公,才有了做VPN系统的想法.好使具有相应权限的使用者从个人PC通过支持MPPE128的加密隧道连接至公司的VPNServer,再通过VPNServer将数据转发到南京IDC的我公司应用网络,其间的连接也是基于IPSEC的安全VPN隧道.由此可以保证我公司的所有应用需求的安全性和便捷性.。

1.硬件资源:服务器一台

PIX525UR防火墙一台

2.软件资源:Mandrake9.2

kernelmod

pptpd

Super-freeswan

iptables

公网ip地址

注:我在测试了几种LINUX(包括Redhat,SuSE,Mandrake,Astaro)后,感觉Mandrake是最简单,最稳妥的平台。

下面就是安装过程:

1.操作系统安装:

安装过程无特殊要求,在选择安装组件的时候除开发工具外其它一概不选,主要是出于安全性考虑.

2.安装kernelmod:

tarzxvfkernelmod-0.7.1.tar.gz

cd/kernelmod

./kernelmod.sh

3.安装pptpd:

①升级ppp

rpm–Uvhppp-2.4.2-0.1b3.i386.rpm

②安装pptpd

rpm–ivhpptpd-1.1.4-1b4.fr.i386.rpm

4.安装Super-freeswan:

rpm–ivhsuper-freeswan-1.99.8-8.2.100mdk.i586.rpm

5.升级iptables:

rpm–Uvhiptables-1.2.8-12.i386.rpm

呵...至此,全部的安装过程就完成了,简单吧,

注:以上软件都可以在rpmfind.net找到!

下面是最主要的配置过程:

1.操作系统的配置:

①升级openssh

②关闭不需要的服务(sendmailisdn…)

③编辑/etc/sysctl.conf

net.ipv4.ip_forward=0=>1

net.ipv4.conf.default.rp_filter=1=>0

2.Pix配置文件(VPN部分):

access-listinside_outbound_nat0_aclpermitip"南京IP段"255.255.255.0"公司VPN用户的IP段"255.255.255.0

access-listoutside_cryptomap_20permitip"南京IP段"255.255.255.0"公司VPN用户的IP段"255.255.255.0

nat(inside)0access-listinside_outbound_nat0_acl

sysoptconnectionpermit-ipsec

cryptoipsectransform-setESP-3DES-MD5esp-3desesp-md5-hmac

cryptomapoutside_map20ipsec-isakmp

cryptomapoutside_map20matchaddressoutside_cryptomap_20

cryptomapoutside_map20setpeer"VPN服务器的IP"

cryptomapoutside_map20settransform-setESP-3DES-MD5

cryptomapoutside_mapinterfaceoutside

isakmpenableoutside

isakmpkey"密码"address"VPN服务器的IP"netmask255.255.255.255no-xauthno-config-mode

isakmpidentityaddress

isakmppolicy20authenticationpre-share

isakmppolicy20encryption3des

isakmppolicy20hashmd5

isakmppolicy20group2

isakmppolicy20lifetime28800

3.PPtP配置

①/etc/pptpd.conf

speed115200

option/etc/ppp/options

localip"公司VPN用户的网关(例如10.0.1.1)"

remoteip"公司VPN用户的IP段(例如10.0.1.200-250)"

②/etc/ppp/chap-secrets

“用户名”"VPN服务器的IP"“密码”10.0.1.20X(200

③/etc/ppp/options

lock

name"VPN服务器的IP"

mtu1490

mru1490

proxyarp

auth

-chap

-mschap

+mschap-v2

require-mppe

ipcp-accept-local

ipcp-accept-remote

lcp-echo-failure3

lcp-echo-interval5

ms-dnsX.X.X.X

deflate0

4.Super-freeswan配置

①/etc/freeswan/ipsec.conf

#basicconfiguration

configsetup

#THISSETTINGMUSTBECORRECToralmostnothingwillwork;

#%defaultrouteisokayformostsimplecases.

interfaces="ipsec0=eth0"

#Debug-loggingcontrols:"none"for(almost)none,"all"forlots.

klipsdebug=none

plutodebug=none

#Useauto=parametersinconndescriptionstocontrolstartupactions.

plutoload=%search

plutostart=%search

#ClosedownoldconnectionwhennewoneusingsameIDshowsup.

uniqueids=yes

nat_traversal=yes

#defaultsforsubsequentconnectiondescriptions

#(thesedefaultswillsoongoaway)

conn%default

keyingtries=0

disablearrivalcheck=no

authby=rsasig

#leftrsasigkey=%dnsondemand

#rightrsasigkey=%dnsondemand

connpix

left="VPN服务器的IP"

leftnexthop="VPN服务器的网关"

leftsubnet="公司VPN用户的IP段(例如10.0.1.0/32)"

right="南京PIX525UR的IP"

rightnexthop=%direct

rightsubnet="南京IP段"

authby=secret

pfs=no

auto=start

②/etc/freeswan/ipsec.secrets

"VPN服务器的IP""南京PIX525UR的IP":PSK"密码"

5.iptables配置(样本),用以限制公司VPN用户的访问权限:

iptables-tnat-APOSTROUTING-oeth0-s10.0.1.201/32-d"南京IP段"-jMASQUERADE

serviceiptablessave

注:添加用户名及修改密码/etc/ppp/chap-secrets

用户权限设定编辑修改iptables规则

如果公司路由器上有access-list,则添加

上一页[1][2]