阅读内容

使用openswan在Linux下构建IPSec VPN过程

[日期：2007-12-03]

来源：Linux公社作者：Linux

第三部分，配置Openswan[/color][/size]
openswan的连接方式有两类：
1）NET-TO-NET方式
使用这种方式，可以将两个不同的位置的networks连接成为一个虚拟专用网；连接建立后，两端的主机可以透明的
互相访问。不过，两个网关间以及网关到对方内部网络内主机不能实现透明的互相访问。这也是第二种方式Road
Warrior存在的部分原因。

使用这种方式必须满足以下条件：
A 两个network都有自己的Linux网关，且每个网关都安装了openswan；
B 两端网络的IP地址不能出现叠加；
在本地网的网关上最好安装了tcpdump，以便测试连接
2）Road Warrior方式
这种方式用以实现远程主机到本地网络的安全拨入，主要用于经常有员工出差时可以远程安全的访问企业内部的资
源。
使用这种方式应该满足以下条件：
一个具有静态IP地址的Linux网关,安装了openswan
一个安装了openswan的laptop,可以是动态IP地址
在本地网的网关上最好安装了tcpdump，以便测试连接
openswan支持多种认证方式，如RSA、RSK、XAUTH、X.509等；最常用到的是RSA和x.509，下面我们就分别介绍这两种认证下openswan的各种连接方式的配置。
[color=Blue]一、RSA认证方式[/color]
一）net-to-net连接

1. 用到的网络模型如下：

left network<--------->left gateway<-------|------->right gateway<-------->right network
(192.168.10.0/24)    (eth1:192.168.10.254           (eth0:192.168.1.202      (192.168.100.0/24)
                         eth0:192.168.1.201                  eth1:192.168.100.254
                         defaultGW:192.168.1.1)            defaultGW:192.168.1.1)

除了以上IP地址信息外，还应该为每个网关准备一个用于在IPSEC协商中用以区分彼此的标识，可以用网关自身的
FQDN，或者其它的名字，如@left、@right.mydomain.org。这个名字完全可以由自己编配。
2.
获得左侧（左右可以由管理员自己定义,一般以本地为左，远程为右）网关的ipsec公匙并追加至/etc/ipsec.conf中
,在left gateway上执行如下命令:

#ipsec showhostkey --left >> /etc/ipsec.conf

其输出为类同如下结果（由于输出很长，故用省略号替代）：
# RSA 2192 bits Left Sat Mar 10 11:44:12 2007
leftrsasigkey=0sAQOuY/CYUfe66P+RXeZ0TXEbH......

执行如下命令将文件/etc/ipsec.conf拷贝为右侧网关的/etc/ipsec.conf（目的是获得右侧网关的public key）

#scp /etc/ipsec.conf root@192.168.1.202:/etc/ipsec.conf

获得右网关的ipsec公匙并追加至/etc/ipsec.conf中,在right gateway上执行如下命令:

#ipsec showhostkey --right >> /etc/ipsec.conf

将右网关的/etc/ipsec.conf文件拷贝回左网关一份：

#scp /etc/ipsec.conf root@192.168.1.201:/etc/ipsec.conf

注：在执行ipsec showhostkey命令时如果提示没有private key存在，需要用以下命令产生一个：

#ipsec newhostkey --out /etc/ipsec.secrets