`

架设linux下最简单的VPN系统

阅读更多
架设linux下最简单的VPN系统

本文是根据我公司的实际应用情况写的,但是稍加修改即可应用到很多地方,系统运行的两个月来,证明还是安全可靠稳定的,呵...

  我公司在北京,但是主要设备都在南京电信的一个主要IDC里,那边有我们的两个PIX525UR(做了故障切换),上面做了严格的访问控制,因此,为了方便公司里的移动,出差及在家的员工办公,才有了做VPN系统的想法.好使具有相应权限的使用者从个人PC通过支持MPPE128的加密隧道连接至公司的VPN Server,再通过VPN Server将数据转发到南京IDC的我公司应用网络,其间的连接也是基于IPSEC的安全VPN隧道.由此可以保证我公司的所有应用需求的安全性和便捷性.

  1.硬件资源:服务器一台

  PIX 525UR防火墙一台

  2.软件资源:Mandrake 9.2

  kernelmod

  pptpd

  Super-freeswan

  iptables

  公网ip地址

  注:我在测试了几种LINUX(包括Redhat,SuSE,Mandrake,Astaro)后,感觉Mandrake是最简单,最稳妥的平台.



下面就是安装过程:



  1.操作系统安装:

  安装过程无特殊要求,在选择安装组件的时候除开发工具外其它一概不选,主要是出于安全性考虑.

  2.安装kernelmod:

  tar zxvf kernelmod-0.7.1.tar.gz

  cd /kernelmod

  ./ kernelmod.sh

  3.安装pptpd:

  ①升级ppp

  rpm –Uvh ppp-2.4.2-0.1b3.i386.rpm

  ②安装pptpd

  rpm –ivh pptpd-1.1.4-1b4.fr.i386.rpm

  4.安装Super-freeswan:

  rpm –ivh super-freeswan-1.99.8-8.2.100mdk.i586.rpm

  5.升级iptables

  rpm –Uvh iptables-1.2.8-12.i386.rpm

  呵...至此,全部的安装过程就完成了,简单吧,

  注:以上软件都可以在rpmfind.net找到!

下面是最主要的配置过程:



  1.操作系统的配置:

  ①升级openssh

  ②关闭不需要的服务(sendmail isdn …)

  ③编辑/etc/sysctl.conf

  net.ipv4.ip_forward = 0=>1

  net.ipv4.conf.default.rp_filter = 1=>0

  2.Pix配置文件(VPN部分):

  access-list inside_outbound_nat0_acl permit ip "南京IP段" 255.255.255.0 "公司VPN用户的IP段" 255.255.255.0

  access-list outside_cryptomap_20 permit ip "南京IP段" 255.255.255.0 "公司VPN用户的IP段" 255.255.255.0

  nat (inside) 0 access-list inside_outbound_nat0_acl

  sysopt connection permit-ipsec

  crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

  crypto map outside_map 20 ipsec-isakmp

  crypto map outside_map 20 match address outside_cryptomap_20

  crypto map outside_map 20 set peer "VPN服务器的IP"

  crypto map outside_map 20 set transform-set ESP-3DES-MD5

  crypto map outside_map interface outside

  isakmp enable outside

  isakmp key "密码" address "VPN服务器的IP" netmask 255.255.255.255 no-xauth no-config-mode

  isakmp identity address

  isakmp policy 20 authentication pre-share

  isakmp policy 20 encryption 3des

  isakmp policy 20 hash md5

  isakmp policy 20 group 2

  isakmp policy 20 lifetime 28800

  3.PPtP配置

  ①/etc/pptpd.conf

  speed 115200

  option /etc/ppp/options

  localip "公司VPN用户的网关(例如10.0.1.1)"

  remoteip "公司VPN用户的IP段(例如10.0.1.200-250)"

  ②/etc/ppp/chap-secrets

  “用户名” "VPN服务器的IP" “密码” 10.0.1.20X (200

  ③/etc/ppp/options

  lock

  name "VPN服务器的IP"

  mtu 1490

  mru 1490

  proxyarp

  auth

  -chap

  -mschap

  +mschap-v2

  require-mppe

  ipcp-accept-local

  ipcp-accept-remote

  lcp-echo-failure 3

  lcp-echo-interval 5

  ms-dns X.X.X.X

  deflate 0

  4.Super-freeswan配置

  ①/etc/freeswan/ipsec.conf

  # basic configuration

  config setup

  # THIS SETTING MUST BE CORRECT or almost nothing will work;

  # %defaultroute is okay for most simple cases.

  interfaces="ipsec0=eth0"

  # Debug-logging controls: "none" for (almost) none, "all" for lots.

  klipsdebug=none

  plutodebug=none

  # Use auto= parameters in conn descriptions to control startup actions.

  plutoload=%search

  plutostart=%search

  # Close down old connection when new one using same ID shows up.

  uniqueids=yes

  nat_traversal=yes

  # defaults for subsequent connection descriptions

  # (these defaults will soon go away)

  conn %default

  keyingtries=0

  disablearrivalcheck=no

  authby=rsasig

  #leftrsasigkey=%dnsondemand

  #rightrsasigkey=%dnsondemand

  conn pix

  left="VPN服务器的IP"

  leftnexthop="VPN服务器的网关"

  leftsubnet="公司VPN用户的IP段(例如10.0.1.0/32)"

  right="南京PIX525UR的IP"

  rightnexthop=%direct

  rightsubnet="南京IP段"

  authby=secret

  pfs=no

  auto=start

  ②/etc/freeswan/ipsec.secrets

  "VPN服务器的IP" "南京PIX525UR的IP": PSK "密码"

  5.iptables配置(样本),用以限制公司VPN用户的访问权限:

  iptables -t nat -A POSTROUTING -o eth0 -s 10.0.1.201/32 -d "南京IP段" -j MASQUERADE

  service iptables save

  注:1.添加用户名及修改密码 /etc/ppp/chap-secrets

  2.用户权限设定 编辑修改iptables规则

  3. 如果公司路由器上有access-list,则添加

  permit 47 any host 219.238.213.244

  4. 校验IPsec服务是否启动成功

  ipsec verify

分享到:
评论

相关推荐

    自己动手架设linux下Web服务器(图).pdf

    自己动手架设 Linux 下 Web 服务器’ 本文旨在指导读者如何自己动手架设 Linux 下 Web 服务器,涵盖了 Linux 服务器的安装、配置、维护等方面的知识点。 一、前期思路: * 作为 Web 服务器,需要对服务器后期的...

    linux下服务器的架设

    linux下服务器的架设 包括dhcp、nfs、ftp、dns等

    LINUX服务器安装架设视屏

    Linux 服务器安装架设视屏 本节课程将带领您学习 Linux 服务器安装架设的视屏教程,涵盖 DNS 的基本概念、BIND 服务器安装、named.conf 配置文件等内容。 DNS 基本概念 DNS(Domain Name System)是互联网上使用...

    linux服务器的架设

    在架设Linux服务器的过程中,用户还需要注意到安全配置。SELinux(Security-Enhanced Linux)是一个Linux内核安全模块,提供了额外的安全策略以控制用户程序和进程对文件系统的访问。在某些情况下,SELinux可能会...

    诛仙架设vps教程linux版

    首先这不是一个虚拟机架设的教程,是用VPS架设的教程!虽然是面向新手写的,但是依然需要一些基础!你如果本地都玩不转,我劝你还是放弃了!还有,这将是全网唯一一个讲vps教程的文件!就是TXT,我觉得你要是能看懂...

    Linux服务器架设,系统管理与网络管理视频教程.txt

    DHCP服务器安装与配、DNS服务器安装与配置、FTP服务器安装与配置、HTTP服务器...Linux系统安全、架设DHCP服务器、架设FTP服务器、架设NFS文件服务器的方法、架设Samba服务器、架设SSH服务器、架设Telnet服务器、架设VNC...

    linux服务器架设,方法集锦

    在Linux服务器架设的过程中,掌握一系列关键技术和方法是至关重要的。以下是一些核心知识点的详细介绍,旨在帮助你系统地学习并成功搭建Linux服务器。 一、Linux操作系统选择与安装 1. Linux发行版:Linux有多种...

    Linux服务器架设指南2

    OpenSSH 的安装非常简单,只需要在 Linux 系统上安装 OpenSSH 软件包即可。 本文档详细介绍了 Linux 服务器架设指南,包括远程管理 Linux 系统的方法, Telnet 服务器、SSH 服务器和 VNC 服务器的实现细节。

    LINUX主机上架设网上调查和在线考试系统

    本文主要介绍如何在Linux环境下搭建网络调查系统(Limesurvey)和在线考试系统,以实现B/S架构的应用。 首先,我们需要确保系统满足基本的硬件和软件要求。Limesurvey需要大约40兆的磁盘空间来存储脚本,以及MySQL ...

    鸟哥Linux私房菜服务器架设(第三版)

    《鸟哥Linux私房菜服务器架设》是Linux系统管理员必备的经典教程,尤其在第三版中,作者深入浅出地讲解了Linux系统的基础知识以及如何搭建和管理服务器。本教程覆盖了从安装Linux操作系统到配置网络服务、安全管理、...

    linux的各种服务器架设总汇

    Linux服务器架设是信息技术领域中非常重要的技能,尤其在开源操作系统Linux的环境下,架设各种服务器以满足不同的业务需求。在上述文件中,我们能够找到关于Linux中各种服务器架设的知识点。 1. Apache Web服务器...

    如何架设基于LINUX的服务器集群

    ### 如何架设基于LINUX的服务器集群 随着互联网的快速发展及广泛应用,越来越多的企业和个人开始依赖于网络进行各种业务活动,尤其是电子商务领域的迅速崛起。为了应对这种趋势下不断增加的访问量和服务需求,...

    快速架设Linux下的WebMail

    ### 快速架设Linux下的WebMail #### 引言 随着互联网的发展,电子邮件成为人们日常生活中不可或缺的一部分。为了方便用户随时随地访问邮箱,WebMail系统应运而生。WebMail是一种基于网页的电子邮件服务,允许用户...

    在Linux系统下面架设Sendmail服务器

    在Linux系统中架设Sendmail服务器是为组织或个人提供电子邮件服务的重要步骤。Sendmail是一款广泛应用的开源邮件传输代理,它允许系统发送和接收电子邮件。本文将详细介绍如何在Linux环境中配置Sendmail服务器。 ...

    linux服务器架设方法大全

    从给定的文件信息中,我们可以提炼出关于Linux服务器架设方法的重要知识点,特别是与SSH、Telnet、Web服务、FTP、DNS等相关的配置和管理技术。以下是对这些知识点的详细解析: ### SSH (Secure Shell) SSH是一种...

    Linux系统无盘工作站架设实例

    "Linux系统无盘工作站架设实例" 本文将详细介绍 Linux 系统无盘工作站架设实例的实现过程,包括客户端的 PXE 方式启动、DHCP 服务器的配置、TFTP 服务器的配置、PXE boot loader 的配置和 NFS 服务器的配置。 第一...

    Linux高级服务器架设视频教程(11集)

    教程名称:Linux高级服务器架设视频教程(11集)课程目录:【】Linux服务器架设-架设DHCP服务器【】Linux服务器架设-架设FTP服务器【】Linux服务器架设-架设NFS文件服务器的方法【】Linux服务器架设-架设Samba服务器...

    架设linux下Web服务器 本人,,(LY).docx

    架设linux下Web服务器 本人,,(LY).docx

    用Linux架设FTP服务器

    通过以上步骤,你已经成功在Linux系统上架设了一个基本的FTP服务器。当然,实际部署时,还需要考虑安全策略、权限控制、日志记录等高级配置,以满足不同场景的需求。学习和理解这些知识点,能让你更好地管理和维护...

    用Linux架设代理服务器.pdf

    因此,Linux 是架设代理服务器的首选操作系统。下面就如何架设 squid 代理服务器进行详细的介绍。 一、为什么选择 Linux 操作系统 Linux 拥有良好的安全性。在当今,计算机安全已经成为人们关注的焦点。多数情况下...

Global site tag (gtag.js) - Google Analytics