当前位置: 首页 > 图文教程 > 操作系统 > Unix/Linux > 高手进阶 Linux架设最简单的VPN系统

Unix/Linux
Linux 备份 恢复方法
Linux玩CS反恐精英的方法
在一个ISO镜像中集成多个不同的linux发行版,可刻盘,可引导
Linux 快捷键使用
Linux DHCP 服务器配置方法介绍
Linux 22端口的修改方法
Linux 记录会话过程的命令
Linux 后台执行程序如何操作?
linux Wget命令来浏览网页的方法
Linux tail命令的巧妙应用
Wine 中文存在很多的乱码怎么解决方法
linux 新手教程之创建锁文件的方法
配置Linux 保证其系统的安全
Linux DHCP协议实现过程
Linux系统下破解SAM密码
linux/unix vi 编辑器用法详解
Linux 误删文件的解决方法
Linux系统下的历史记录删除方法
Red Hat Linux 安全设置指南
Linux基本命令-注销、关机、重启

Unix/Linux 中的 高手进阶 Linux架设最简单的VPN系统


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-01   浏览: 88 ::
收藏到网摘: n/a

公司在北京,但是主要设备都在南京电信的一个主要IDC里,那边有我们的两个PIX525UR(做了故障切换),上面做了严格的访问控制,因此,为了方便公司里的移动,出差及在家的员工办公,才有了做VPN系统的想法.好使具有相应权限的使用者从个人PC通过支持MPPE128的加密隧道连接至公司的VPN Server,再通过VPN Server将数据转发到南京IDC的我公司应用网络,其间的连接也是基于IPSEC的安全VPN隧道.由此可以保证我公司的所有应用需求的安全性和便捷性.。

  1.硬件资源:服务器一台

  PIX 525UR防火墙一台

  2.软件资源:Mandrake 9.2

  kernelmod

  pptpd

  Super-freeswan

  iptables

  公网ip地址

  注:我在测试了几种LINUX(包括Redhat,SuSE,Mandrake,Astaro)后,感觉Mandrake是最简单,最稳妥的平台。

  下面就是安装过程:

  1.操作系统安装:

  安装过程无特殊要求,在选择安装组件的时候除开发工具外其它一概不选,主要是出于安全性考虑.

  2.安装kernelmod:

  tar zxvf kernelmod-0.7.1.tar.gz

  cd /kernelmod

  ./ kernelmod.sh

  3.安装pptpd:

  ①升级ppp

  rpm –Uvh ppp-2.4.2-0.1b3.i386.rpm

  ②安装pptpd

  rpm –ivh pptpd-1.1.4-1b4.fr.i386.rpm

  4.安装Super-freeswan:

  rpm –ivh super-freeswan-1.99.8-8.2.100mdk.i586.rpm

  5.升级iptables:

  rpm –Uvh iptables-1.2.8-12.i386.rpm

  呵...至此,全部的安装过程就完成了,简单吧,

  注:以上软件都可以在rpmfind.net找到!

  下面是最主要的配置过程:

  1.操作系统的配置:

  ①升级openssh

  ②关闭不需要的服务(sendmail isdn …)

  ③编辑/etc/sysctl.conf

  net.ipv4.ip_forward = 0=>1

  net.ipv4.conf.default.rp_filter = 1=>0

  2.Pix配置文件(VPN部分):

  access-list inside_outbound_nat0_acl permit ip "南京IP段" 255.255.255.0 "公司VPN用户的IP段" 255.255.255.0

  access-list outside_cryptomap_20 permit ip "南京IP段" 255.255.255.0 "公司VPN用户的IP段" 255.255.255.0

  nat (inside) 0 access-list inside_outbound_nat0_acl

  sysopt connection permit-ipsec

  crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

  crypto map outside_map 20 ipsec-isakmp

  crypto map outside_map 20 match address outside_cryptomap_20

  crypto map outside_map 20 set peer "VPN服务器的IP"

  crypto map outside_map 20 set transform-set ESP-3DES-MD5

  crypto map outside_map interface outside

  isakmp enable outside

  isakmp key "密码" address "VPN服务器的IP" netmask 255.255.255.255 no-xauth no-config-mode

  isakmp identity address

  isakmp policy 20 authentication pre-share

  isakmp policy 20 encryption 3des

  isakmp policy 20 hash md5

  isakmp policy 20 group 2

  isakmp policy 20 lifetime 28800

[1] [2] 下一页