目前架设linux下最简单的VPN系统啊

架设linux下最简单的VPN系统

我公司在北京,但是主要设备都在南京电信的一个主要IDC里,那边有我们的两个PIX525UR(做了故障切换),上面做了严格的访问控制,因此,为了方便公司里的移动,出差及在家的员工办公,才有了做VPN系统的想法.好使具有相应权限的使用者从个人PC通过支持MPPE128的加密隧道连接至公司的VPN Server,再通过VPN Server将数据转发到南京IDC的我公司应用络,其间的连接也是基于IPSEC的安全VPN隧道.由此可以保证我公司的所有应用需求的安全性和便捷性.

1.硬件资源:服务器一台

PIX 525UR防火墙一台

2.软件资源:Mandrake 9.2

kernelmod

pptpd

Super-freeswan

iptables

公ip地址

注:我在测试了几种LINUX(包括Redhat,SuSE,Mandrake,Astaro)后,感觉Mandrake是最简单,最稳妥的平台.

下面就是安装过程:

1.操作系统安装:

安装过程无特殊要求,在选择安装组件的时候除开发工具外其它一概不选,主要是出于安全性考虑.

2.安装kernelmod:

tar zxvf

cd /kernelmod

./

3.安装pptpd:

①升级ppp

rpm –Uvh m

②安装pptpd

rpm –ivh m

4.安装Super-freeswan:

rpm –ivh m

5.升级iptables

rpm –Uvh m

呵...至此,全部的安装过程就完成了,简单吧,

注:以上软件都可以在找到!

下面是最主要的配置过程:

1.操作系统的配置:

①升级openssh

②关闭不需要的服务(sendmail isdn …)

③/etc/nf

net.ipv4.ip_forward =最好请生产厂家的技术人员现场指挥 0=>1在全国范围内制止生产、销售、使用厚度小于0.025毫米的塑料购物袋

net.ipv4.conf.default.rp_filter = 1=>0

x配置文件(VPN部分):

access-list inside_outbound_nat0_acl permit ip “南京IP段”

255.255.255.0 “公司VPN用户的IP段” 255.255.255.0

access-list outside_cryptomap_20 permit ip “南京IP段”

255.255.255.0 “公司VPN用户的IP段” 255.255.255.0

nat (inside) 0 access-list inside_outbound_nat0_acl

sysopt connection permit-ipsec

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

crypto map outside_map 20 ipsec-isakmp

crypto map outside_map 20 match address outside_cryptomap_20

crypto map outside_map 20 set peer “VPN服务器的IP”

crypto map outside_map 20 set transform-set ESP-3DES-MD5

crypto map outside_map interface outside

isakmp enable outside

isakmp key “密码” address “VPN服务器的IP” netmask 255.255.255.255

no-xauth no-config-mode

isakmp identity address

isakmp policy 20 authentication pre-share

isakmp policy 20 encryption 3des

isakmp policy 20 hash md5

isakmp policy 20 group 2

isakmp policy 20 lifetime 28800

tP配置

①/etc/nf

speed 115200

option /etc/ppp/options

localip “公司VPN用户的关(例如10.0.1.1)”

remoteip “司VPN用户的IP段(例如10.0.1.)”

②/etc/ppp/chap-secrets

“用户名” “VPN服务器的IP” “密码” 10.0.1.20X (200

③/etc/ppp/options

lock

name “VPN服务器的IP”

mtu 1490

mru 1490

proxyarp

auth

-chap

-mschap

+mschap-v2

require-mppe

ipcp-accept-local

ipcp-accept-remote

lcp-echo-failure 3

lcp-echo-interval 5

ms-dns X.X.X.X

deflate 0

per-freeswan配置

①/etc/freeswan/nf

# basic configuration

config setup

# THIS SETTING MUST BE CORRECT or almost nothing will work;

# %defaultroute is okay for most simple cases.

interface采取交换伺服机电s=“ipsec0=eth0”

# Debug-logging controls: “none” for (almost) none,“all” for

lots.

klipsdebug=none

plutodebug=none

# Use auto= parameters in conn descriptions to control startup

actions.

plutoload=%search

plutostart=%search

# Close down old connection when new one using same ID shows

up.

uniqueids=yes

nat_traversal=yes

需包括端子夹具（满足我方使用端子情势OT/DBV/elpress端子）；

# defaults for subsequent connection descriptions

# (these defaults will soon go away)

conn %default

keyingtries=0

disablearrivalcheck=no

authby=rsasig

#leftrsasigkey=%dnsondemand

#rightrsasigkey=%dnsondemand

conn pix

left=“VPN服务器的IP”

leftnexthop=“VPN服务器的关”

leftsubnet=“公司VPN用户的IP段(例如10.0.1.0/构建以’原辅材料采购-原料台帐管理-注塑环节风险控制-出厂安全卫生把关’为重心的安全卫生保障体系32)”

right=“南京PIX525UR的IP”

rightnexthop=%direct

rightsubnet=“南京IP段”

authby=secret

pfs=no

auto=start

②/etc/freeswan/crets

“VPN服务器的I” “南京PIX525UR的IP”: PSK “密码”

tables配置(样本),用以限制公司VPN用户的访问权限:

iptables -t nat -A POSTROUTING -o eth0 -s 10.0.1.201/32 -d

“南京IP段” -j MASQUERADE

service iptables save

2.用户权限设定 修改iptables规则

3. 如果公司路由器上有access-list,则添加permit 47 any host 219.238.213.244

4. 校验IPsec服务是否启动成功

ipsec verify (end)