3.在左网关上编辑/etc/ipsec.conf,定义要建立的连接
在/etc/ipsec.conf中如下一句之后添加新定义的连接
# Add connections here(此句前的“#”为注释符)
conn net-to-net
left=192.168.1.201 #左网关外网IP
leftsubnet=192.168.10.0/24 #左侧内网网段
leftid=@left #左网标识
leftnexthop=%defaultroute #指定左网关的下一跳为默认路由
right=192.168.1.202 #右网关外网IP
rightsubnet=172.16.16.0/20 #左侧网络网段
rightid=@right #右网关标识
rightnexthop=%defaultroute #指定右网关的下一跳为默认路由
auto=add #授权此连接,但在网关间建立连接时不自动启动,为了调试或手动启动
为了统一,也可将各网关的公匙对应在以上连接中。
将/etc/ipsec.conf拷贝至右网关:
#scp /etc/ipsec.conf root@192.168.1.202:/etc/ipsec.conf
3. 不要让IP伪装或NAT的数据包通过此连接隧道
如果在任何一边网关上使用了MASQ或者NAT,则必须在网关上修改iptables规则以免于让基于此目的的数据包通过
IPSEC隧道,即如果网关上使用了如下规则:
#iptables -t nat -A POSTROUTING -o eth0 -s 192.168.10.0/24 -j MASQUERADE
则应该修改为:
#iptables -t nat -A POSTROUTING -o eth0 -s 192.168.10.0/24 -d ! 192.168.100.0/24 -j MASQUERADE
4. 启动连接
在本地网关启动连接:
#ipsec auto --up net-to-net
输出结果如下:
[root@Left root]# ipsec auto --up net-to-net
104 "net-to-net" #1: STATE_MAIN_I1: initiate
003 "net-to-net" #1: received Vendor ID payload [Openswan (this version) 2.4.7 PLUTO_SENDS_VENDORID PLUTO_USES_KEYRR]
003 "net-to-net" #1: received Vendor ID payload [Dead Peer Detection]
106 "net-to-net" #1: STATE_MAIN_I2: sent MI2, expecting MR2
108 "net-to-net" #1: STATE_MAIN_I3: sent MI3, expecting MR3
004 "net-to-net" #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_RSA_SIG cipher=oakley_3des_cbc_192 prf=oakley_md5 group=modp1536}
117 "net-to-net" #2: STATE_QUICK_I1: initiate
004 "net-to-net" #2: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0x606fcf02 <0xd0904bdd xfrm=AES_0-HMAC_SHA1 NATD=none DPD=none}
也可以通过查看日志/var/log/messages以及/var/log/secure来查看连接启动的具体情况。如果没能正常启动,请注意查看后文中关于troubleshooting介绍。
5. 测试连接
在一侧的内网网段里的主机(注意:不能是网关)上ping对方子网内的机器(注意:不能是网关)
ping 192.168.100.7 (如果是windows主机,最好加上-t选项,以确保ping的持续进行)
此时,在本地的网关上使用如下命令来查看输出:
#tcpdump -i eth0
而后应该可以看到有类同如下的数据序列来来回回的穿过:
23:16:18.529865 192.168.1.201 > 192.168.1.202: ESP(spi=0x32db83e2,seq=0x154)
23:16:18.530521 192.168.1.202 > 192.168.1.201: ESP(spi=0x7e2b7039,seq=0x154)
23:16:19.531058 192.168.1.201 > 192.168.1.202: ESP(spi=0x32db83e2,seq=0x155)
23:16:19.531861 192.168.1.202 > 192.168.1.201: ESP(spi=0x7e2b7039,seq=0x155)
注:这种方式只能建立net-to-net间的连接,并不能确保gateway-gateway之间的连接或者gateway-subnet(对方)之间的连接。如果你要使用此种连接,比如一方的网关还是一个文件服务器时,那么你还需要额外建立其它的连接。
![Ubuntu终端服务客户端远程连接Windows Server 2003桌面[图文]](../../upload/2008_11/08112406516032t.jpg)
Ubuntu终端服务客户端![LAMP架构:配置Linux Apache Web服务器[图文]](../../upload/2008_11/081123184064951t.jpg)
LAMP架构:配置Linux ![Ubuntu 8.10 局域网网络配置记[图文]](../../upload/2008_11/08111710431153t.jpg)
Ubuntu 8.10 局域网网![Darkhttpd:Linux 下迷你静态http服务器[图文]](../../upload/2008_11/08111008465697t.jpg)
Darkhttpd:Linux 下![用Ubuntu做WEB服务器相关设置[多图]](../../upload/2008_10/08103005046122t.jpg)
用Ubuntu做WEB服务器![asterisk安装实录之CentOS 5.2安装[多图]](../../upload/2008_10/081020071615331t.jpg)
asterisk安装实录之Ce![让XManager也支持中文Solaris系统[图文]](../../upload/2008_10/081004071585281t.jpg)
让XManager也支持中文![[图文]使用Linux下的X命令与XP下的Xmanager远程登录rhel5 server的gnome桌面](../../upload/2008_10/08100407094602t.jpg)
[图文]使用Linux下的X