欢迎来到天天文库
浏览记录
ID:22378570
大小:68.50 KB
页数:9页
时间:2018-10-28
《vpnonopenbsd配置小记》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、VPNOnOpenBSD配置小记~教育资源库 VPN(VitualPrivateNetanpages等)。 VPN是VitualPrivateNetap之类得,这是一台安全得服务器所必要得条件,而且可能回影响VPN配置过程,如果一定要开开,那么请在VPN配置完成以后再一个一个得打开,确认VPN工作无误。 然后,升级OpenBSD2.8到OpenBSD-current.因为在OpenBSD2.8的ipsec/ipf/ipnat实现部分有问题,所以不要尝试在OpenBSD2.8上配置VPN。具体来讲,升级主要升级以下部分到current: 内核
2、。在链接新内核之前重新链接和安装usr.sbin/config isakmpd ipf ipnat以上三项需要重新链接之前安装内核头文件(include的时候makeinclude) 只有升级这些才可以修复OpenBSD2.8中IPSec的问题,这些问题主要包括isakmpd导致的错误选路,同时也至少崩溃过几次。而且理论上AES的问题也可以得到解决,虽然笔者还没有实验过。 为了升级到最新内核,需要 编译和安装libkvm 编译ps,vmstat,top并安装到已经有新内核的机器上 读者可以在.openbsd.org/anoncvs.
3、html查阅最新的更新。 新内核开始工作以后,两台可以作OpenBSDVPN的网关就出现了。保证两台系统的/etc/sysctl.conf里面都有.i.esp.enable=1,这使esp(EncapsulatedSecurityProtocol)能够工作,以后所有通过VPN隧道到达网关的流量都是以esp形式的。只要应用了正确的密钥,这些esp包就会被根据他们真正的解密协议、端口和内容进行重新处理。 下一件需要作的事情是让isakmpd开始工作,这样才可以让两个网关能够找到对方、验证对方的可信度从而开始交换密钥。 这部分工作就不详细描述了,m
4、anisakmpd应该已经能够解决问题,而且笔者用的是非常标准的配置。两台机器利用商定的公共秘密句子来交换密钥,这个密钥是给AES加密算法用的。下面是笔者的isakmpd的配置文件,依次为isakmpd.policy(适用LAN1和2),isakmpd.conf.lan1,和isakmpd.conf.lan2. 1.KeyNote-Version: ment:ThispolicyacceptsESPSAsfromaremotethatusestherightpassword123下一页友情提醒:,特别!Authorizer:POLICYLice
5、nsees:passphrase:SecRetPhrasEConditions:app_domain==IPsecpolicyesp_present==yes;[h4]2.#$OpenBSD:VPN-east.conf,v1.112001/04/0923:27:29nick1Exp$[/h4]#$EOM:VPN-east.conf,v1.122001/04/0922:08:30nick2Exp$#AconfigurationsamplefortheisakmpdISAKMP/Oakley(akaIKE)daemon.#[General]Retran
6、smits=5Exchange-max-time=120[Phase1]Default=ISAKMP-LAN2gain-modeAuthentication=SecRetPhrasE[IPsec-LAN1-LAN2]Phase=2ISAKMP-peer=ISAKMP-LAN2godeLocal-ID=Net-LAN1Remote-ID=Net-LAN2[Net-LAN2]ID-type=IPV4_ADDR_SUBNetask=255.255.255.0[Net-LAN1]ID-type=IPV4_ADDR_SUBNetask=255.255.255
7、.0[Default-main-mode]DOI=IPSECEXCHANGE_TYPE=ID_PROTTransforms=3DES-SHA[Default-quick-mode]DOI=IPSECEXCHANGE_TYPE=QUICK_MODESuites=QM-ESP-AES-SHA-PFS-SUITE[h4]3.#$OpenBSD:VPN-east.conf,v1.112001/04/0923:27:29nick1Exp$[/h4]#$EOM:VPN-east.conf,v1.122001/04/0922:08:30nick2Exp$#Aco
8、nfigurationsamplefortheisakmpdISAKMP/Oakley(akaIKE)daemon.#[G
此文档下载收益归作者所有