当前位置: 首页 > 图文教程 > 操作系统 > Unix/Linux > 高手进阶 Linux架设最简单的VPN系统

Unix/Linux
Linux crontab定时执行任务 命令格式与详细例子
linux 查看用户及用户组的方法
让Linux系统有效防御ARP攻击的实用技巧
Linux 常用软件列表
linux wget 一个强大的下载命令
linux 常用脚本、命令
linux 磁盘配额 简单介绍
Linux服务器架设笔记 Squid服务器配置
ubuntu intel 集成显卡安装
ubuntu 9.04 X3100 显卡开启3D特效
Ubuntu 8.10 Server Ruby 的安装方法
Ubuntu root帐户密码修改
ubuntu下apt-get 命令参数
Ubuntu Linux下实现QQ的三种方式
Ubuntu 8.04中建立PHP+MySQL环境
Ubuntu常用软件大全
Ubuntu系统下安装Aircrack-ng
Ubuntu实现FTP功能
ubuntu 字体美化实现方法
ubuntu下netbeans汉字显示残缺问题

Unix/Linux 中的 高手进阶 Linux架设最简单的VPN系统


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-01   浏览: 113 ::
收藏到网摘: n/a

公司在北京,但是主要设备都在南京电信的一个主要IDC里,那边有我们的两个PIX525UR(做了故障切换),上面做了严格的访问控制,因此,为了方便公司里的移动,出差及在家的员工办公,才有了做VPN系统的想法.好使具有相应权限的使用者从个人PC通过支持MPPE128的加密隧道连接至公司的VPN Server,再通过VPN Server将数据转发到南京IDC的我公司应用网络,其间的连接也是基于IPSEC的安全VPN隧道.由此可以保证我公司的所有应用需求的安全性和便捷性.。

  1.硬件资源:服务器一台

  PIX 525UR防火墙一台

  2.软件资源:Mandrake 9.2

  kernelmod

  pptpd

  Super-freeswan

  iptables

  公网ip地址

  注:我在测试了几种LINUX(包括Redhat,SuSE,Mandrake,Astaro)后,感觉Mandrake是最简单,最稳妥的平台。

  下面就是安装过程:

  1.操作系统安装:

  安装过程无特殊要求,在选择安装组件的时候除开发工具外其它一概不选,主要是出于安全性考虑.

  2.安装kernelmod:

  tar zxvf kernelmod-0.7.1.tar.gz

  cd /kernelmod

  ./ kernelmod.sh

  3.安装pptpd:

  ①升级ppp

  rpm –Uvh ppp-2.4.2-0.1b3.i386.rpm

  ②安装pptpd

  rpm –ivh pptpd-1.1.4-1b4.fr.i386.rpm

  4.安装Super-freeswan:

  rpm –ivh super-freeswan-1.99.8-8.2.100mdk.i586.rpm

  5.升级iptables:

  rpm –Uvh iptables-1.2.8-12.i386.rpm

  呵...至此,全部的安装过程就完成了,简单吧,

  注:以上软件都可以在rpmfind.net找到!

  下面是最主要的配置过程:

  1.操作系统的配置:

  ①升级openssh

  ②关闭不需要的服务(sendmail isdn …)

  ③编辑/etc/sysctl.conf

  net.ipv4.ip_forward = 0=>1

  net.ipv4.conf.default.rp_filter = 1=>0

  2.Pix配置文件(VPN部分):

  access-list inside_outbound_nat0_acl permit ip "南京IP段" 255.255.255.0 "公司VPN用户的IP段" 255.255.255.0

  access-list outside_cryptomap_20 permit ip "南京IP段" 255.255.255.0 "公司VPN用户的IP段" 255.255.255.0

  nat (inside) 0 access-list inside_outbound_nat0_acl

  sysopt connection permit-ipsec

  crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

  crypto map outside_map 20 ipsec-isakmp

  crypto map outside_map 20 match address outside_cryptomap_20

  crypto map outside_map 20 set peer "VPN服务器的IP"

  crypto map outside_map 20 set transform-set ESP-3DES-MD5

  crypto map outside_map interface outside

  isakmp enable outside

  isakmp key "密码" address "VPN服务器的IP" netmask 255.255.255.255 no-xauth no-config-mode

  isakmp identity address

  isakmp policy 20 authentication pre-share

  isakmp policy 20 encryption 3des

  isakmp policy 20 hash md5

  isakmp policy 20 group 2

  isakmp policy 20 lifetime 28800

[1] [2] 下一页