Linux下架设L2TP IPSec VPN服务器(X509) （1） |数据恢复|北亚数据恢复中心电话:4006-505-808


	您当前的位置:首页>>数据库>>正文

Linux下架设L2TP IPSec VPN服务器(X509) （1）

作者: 来源: 日期:2009-2-20 12:37:44 点击次数：

发布时间：2009.02.20 08:40 来源：chinaitlab 作者：chinaitlab

1、说明

所需软件及下载地址

CentOS 5.2----------------------------------最稳定的linux服务器
ppp-2.4.3.tar.gz----------------------------PPP主程序
openssl-0.9.8i.tar.gz-----------------------生产证书的主程序
xl2tpd-1.2.3.tar.gz-------------------------FreeRadius服务器主程序
openswan-2.6.19.tar.gz----------------------IPSec主程序

1.2、实现过程及功能特性

我们的试验网络拓扑如下图所示：

我们采用VM虚拟机试验，VM中的网络设置如下:

在VMware提供的Virtual Network Editor中的“Host Virtual Network Mapping”选项卡中，把VMNet2设为Not bridged，点击右边的“>”按钮－subnet，IP地址填入172.16.1.0，确定。

VPNGateway虚拟机需要再添加一个网卡,然后在Linux下按照下表设置各个网卡，并在虚拟机设置中选择网卡对应的网络。其中VPNGateway的网卡0属于VMNet0，网卡1属于VMNet2。网卡1的默认网卡设为192.168.2.1。

另外，XP本机自动位于VMNet0，不需要进行设置。

其中，192.168.1.0/24网段模拟外网，windows xp模拟外网拨号的VPN客户机。

172.16.1.0/24网段模拟内网，Juniper为内网中一台机器，作为企业内部的HTTP服务器。

2.架设服务器

具体过程不再赘述，相关配置文件如下：

OpenSWan 主要配置文件：

/etc/ipsec.secrets 用来保存private RSA keys 和 preshared secrets (PSKs)

/etc/ipsec.conf 配置文件(settings, options, defaults, connections)

OpenSWan 主要配置目录：

/etc/ipsec.d/cacerts 存放X.509 认证证书（根证书－"root certificates"）

/etc/ipsec.d/certs 存放X.509 客户端证书（X.509 client Certificates）

/etc/ipsec.d/private 存放X.509 认证私钥（X.509 Certificate private keys）

/etc/ipsec.d/crls 存放X.509 证书撤消列表（X.509 Certificate Revocation Lists）

/etc/ipsec.d/ocspcerts 存放X.500 OCSP 证书（Online Certificate Status Protocol certificates）

/etc/ipsec.d/passwd XAUTH 密码文件（XAUTH password file）

/etc/ipsec.d/policies 存放Opportunistic Encryption 策略组（The Opportunistic Encryption policy groups）

[root@mm ~]# cat /etc/ppp/chap-secrets # Secrets for authentication using CHAP #

client server secret IP addresses

test1 * test1 *

l2tptest1 * l2tptest1 10.1.1.1

l2tptest2 * l2tptest2 *

[root@mm ~]# cat /etc/ipsec.secrets

RSA /etc/ipsec.d/private/vpngateway.key "123456"

#192.168.1.251 %any : PSK "123456"

[root@mm ~]# cat /etc/ipsec.conf

#version 2.0

config setup

interfaces=%defaultroute

nat_traversal=yes

virtual_private=%v4:192.168.0.0/16,%v4:10.0.0.0/8,%v4:172.16.1.0/24,%v4:!192.168.1.0/24

conn %default

compress=yes

authby=rsasig

leftrsasigkey=%cert

rightrsasigkey=%cert

#conn roadwarrior

#left=172.16.1.100

#leftcert=vpngateway.cert

#leftsubnet=172.16.1.0/24

#right=%any

#auto=add

conn l2tpx509

pfs=no auto=add

left=192.168.1.251

leftcert=vpngateway.cert

leftprotoport=17/1701

right=%any

rightca=%same

rightprotoport=17/%any ############################################################################# #configure preshared secret authentication

本新闻共3页,当前在第1页 1 2 3

上一篇：SAP与Novell联手提供拓展Linux支持选择
下一篇：没有了

北京总部： 4006-505-808

天津部： 4006-505-808

上海部： 4006-505-808

深圳部： 4006-505-808

广州部： 4006-505-808

重庆部： 4006-505-808

南京部： 4006-505-808

其它地区： 4006-505-808

经典案例

解决方案

北亚数据恢复　－　联系我们　－　关于北亚　－　友情链接　－　网站地图　－　RSS聚合　