LINUX-BG Адрес : http://www.linux-bg.org |
VPN на базата на OpenSwan, OpenSSL, L2TPD |
От: Georgi Ivanov Публикувана на: 22-06-2004 Адрес на статията: http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=362574900 |
Статията има за цел да помогне на тези хора които ползват Linux ядро 2.6.x и искат да изградят VPN сървър ползвайки софтуер различен от стандартния IPSec модул включен в ядрата 2.6.x . Понеже новата версия на FreeSwan 2.06 е премахнала опцията transport като тип на връзката и няма възможност за поддръжка на L2TP (по ранните версии на FreeSwan не се подържат от 2.6.x ядра) , инструмента към който се насочих е OpenSwan .
Инструменти който ви трябват са: Инструментите са тествани на Debian 3.0r2 unstable с ядро 2.6.7
Забележка:
Предполага се , че сте се занимавали с Linux и можете да
компилирате и инсталирате ядро! Сценарият е следния: Работите като Системен Администратор в частна фирма мрежата на която се състои от 40-50 компютъра и един сървър примерно който служи за gateway и firewall, и шефът ви иска работниците в извън работно време независимо от това къде се намират да могат да достъпват по някакъв начин вътрешната мрежа на фирмата.
1.Настройка на ядрото:
CONFIG_NET_KEY=y
Инсталирате opeswan,openswan-modules-source:
2. Генериране на X509 Сертификати.
Инсталиране на OpenSSL за Debian:
Конфигурация на OpenSSL.
Следва генериране на CA Trust Certificate и CA private key След което ще бъдете подканени да въведете парола за частният ключ и информация за него . В следствие на горната команда ще бъде създадена директория demoCA (ако не сте я променили изрично в openssl.cnf) Частният ключ по подразбиране е cakey.pem и седи в /usr/lib/ssl/misc/demoCA/private/cakey.pem, a CA Trust Certificate седи по подразбиране в /usr/lib/ssl/misc/demoCA/cacert.pem
Следва генериране на private key за OpenSwan: Следва създаване на сертификат за самия клиент който става по същият начин както и за OpenSwan. Създаваме и CRL(Certifikate Revokation List)
Преди да генерирате клиентският сертификат преименувайте
newreq.pem и newcert.pem на нещо значимо за вас примерно: Важно: newreq.pem е частният ключ , а newcert.pem е подписаният сертификат.
След като преименувахме сертификата за Openswan правим
същото и с клиентският сертификат.
И копираме сертификатите на техните места: Понеже PKCS12 е най масово използван формат за съхранение на потребителски сертификати тук ще изгенерираме такъв сертификат който ще се даде на потребителят използващ VPN сървъра.
Генериране на PKCS12. Сертификата се дава на клиента в този формат и паролта с която е заключен самият client.p12
3. Конфигуриране на OpenSwan Конфигурация:
version 2.0
conn %default
conn l2tp
conn block
include /etc/ipsec.d/examples/no_oe.conf Добавяме следният ред в /etc/ipsec.secrets : RSA openswan-priv.pem "password" където password е паролата на ключа
4. Конфигурация на l2tpd за Debian << Пример за употреба на Access Control Lists с Линукс | Що е то SPF и как ще ни помогне да се защитим от спам >> |
Авторите на сайта, както и техните сътрудници запазват авторските права върху собствените си материали публикувани тук,
но те са copyleft т.е. могат свободно да бъдат копирани и разпространявани с изискването изрично да се упоменава името на автора,
както и да се публикува на видно място, че те са взети от оригиналния им URL-адрес на този сървър (http://www.linux-bg.org). Авторските права на преводните материали принадлежат на техните автори. Ако с публикуването тук на някакъв материал неволно са нарушени нечии права - след констатирането на този факт материалът ще бъде свален.
All trademarks, logos and copyrights mentioned on this site are the property of their respective owners.
|