十分钟配置Openswan

十分钟配置Openswan

 

Openswan是什么，做什么用，我这里不想再说，实在不知道的，就google一下了。理论的上知识也请google，这里呢只想按照1、2、4、 5、6、7这种死步骤配置，保证能配通就OK了。因为网上的这类资料也多也全，只不过呢新手看上去有点困难，也不容易配置成功吧。

 

一、 系统安装。

1、 下载软件

cd /usr/local/src

我喜欢把程序下载到这个目录。

wget http://www.openswan.org/download/openswan-2.4.7.tar.gz

不过建议在windows下载，再拷贝到linunx系统下去，这样比较快。

2、 tar zxvf openswan-2.4.7.tar.gz

3、 cd /usr/local/src/openswan-2.4.7

4、 make programs

5、 make install

6、 export KERNELSRC=/usr/src/kernels/2.6.9-11.EL-i686

我的核心文件是放在这里，你的放在什么位置要自己先确定好，这条不要硬搬。

7、 make module

8、 make minstall

9、 depmod -a

10、 modprobe ipsec

11、 echo “1” > /proc/sys/net/ipv4/ip_forward

12、 echo “0” > /selinux/enforce

   好了，安装完毕。

 

　　　检查安装情况

　　　# ipsec --version

Linux Openswan 2.4.7 (klips)

See `ipsec --copyright' for copyright information.

出现以上提示，安装成功。

 

二、 配置

主要配置文件有两个，ipsec.conf、ipsec.secrets。

在这里我们看看网络拓朴图，网络一服务器的内网接eth0接口，地址是172.21.1.1，外网接eth1接口，地址是203.86.61.172，主机是left，下连172.21.1.0/24这个局域网。网络二服务器的内网接eth0接口，地址是176.20.1.1，外网接eth1接口，地址是 203.86.61.173，主机是right，下连176.20.1.0/24这个局域网。

 

1、 ipsec newhostkey –output /etc/ipsec.secrets

在左、右服务器里，分别执行以上命令。

2、 vi /etc/ipsec.conf，内容如下，比照下面文件，修改和增加，其实要改和增加的地方并不多，有“#”的都是注释，不用管。

 

# /etc/ipsec.conf - Openswan IPsec configuration file

# RCSID $Id: ipsec.conf.in,v 1.15.2.6 2006/10/19 03:49:46 paul Exp $

 

# This file:   /usr/local/share/doc/openswan/ipsec.conf-sample

#

# Manual:     ipsec.conf.5

 

 

version 2.0 # conforms to second version of ipsec.conf specification

 

# basic configuration

config setup

# plutodebug / klipsdebug = "all", "none" or a combation from below:

# "raw crypt parsing emitting control klips pfkey natt x509 private"

# eg: plutodebug="control parsing"

#

# ONLY enable plutodebug=all or klipsdebug=all if you are a developer !!

#

# NAT-TRAVERSAL support, see README.NAT-Traversal

interfaces=%defaultroute

nat_traversal=yes

# virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12

#

# enable this if you see "failed to find any available worker"

nhelpers=0

 

# Add connections here

conn %default

authby=rsasig

compress=yes

 

# sample VPN connections, see /etc/ipsec.d/examples/

 

#Disable Opportunistic Encryption

include /etc/ipsec.d/examples/no_oe.conf

 

conn network-to-network

left=203.86.61.173

leftsubnet=176.20.1.0/24

leftid=@left

# RSA 2192 bits left Tue Mar 13 14:55:48 2007

leftrsasigkey=0sAQPW/s8yMYIAPS97rK2JESc0ZOMrcuE2sFSdsfh++JGe97t7m1As+QPiVyLP6KuWlLBjIJzwvpUbipiCmKjmNKXZ+eS0dtAw1faVpVxa+7DJLgAnHjyafYW3SxXRF/xEp0HBckJNeGtjJheqtmWggUa6WejjhPNosmA7Zyj07ikW05JZYvUNf2uFBBupRMC0kwmFRpdah2IiDSecOy57LkACS6AFhX60PTh0Eip1N0cJUXjbrS95KudcPYsXpw6bKQbHl/Vku+0RfqIfZ2tXXcqj5OKJSeMp1fh6Bt+zh8T5qPZJNvU19xJufdSDQmaxI4XaGHwKmA1KIBotVS4F+0DVn0mvDIf1HfF/YNsKPiI9diJn

leftnexthop=%defaultroute

right=203.86.61.172

rightsubnet=172.21.1.0/24

rightid=@right

# RSA 2192 bits right Sun Mar 11 02:17:24 2007

rightrsasigkey=0sAQO/ygUllGNfYd/3athFYSqb6GUdp18oMZ2LdOa3ToJCGATpJp6/C/0BpShGybNtb95kyKI63mVnWkYmN6NUW5qZJpMSnR5nWAVyHaNF1KbQ9j6ZhGLX0kRb80NNXPRCEpOCKDfqKtF0CbqghbqCtv2wV+gjt3MSO3d9WXWOT5xXJIwLohV+hA/rGrAMAz4Axcl9RudFnkKr3g0KYp86YktAPYJt8xBtqBFWdIO0WncWB3F/XpZKZdUMJ78M50yOHlBqOOnemkAnVfFFGCBJj27aheDFpp1QPhRdqjExsHK5mT3uKxJPehOqoJaIqcHMHJlBUxXNhGz5+T/AiaLkiwtbtHQjIWAtyUklbGUAql8EG1o9

rightnexthop=%defaultroute

auto=add

 

leftrsasigkey和rightrsasigkey这行，不要硬搬，因为这两行是我的机器上的，你的数值和我的不一样，可用下面方法输入。

在left服务器里。

3、 ipsec showhostkey --left >> /etc/ipsec.conf，注意一定要是　“＞＞”，不要输入成“＞”。

4、 再到right服务器里，

ipsec showhostkey   --right > rightrsasigkey.tmp

5、 scp ./rightrsasigkey.tmp root@left:/etc/rightrsasigkey.tmp

将在right服务器产生的rightrsasigkey.tmp文件，拷贝到left服务器的/etc/目录下

6、 在left服务里，

cd /etc/

cat   rightrsasigkey.tmp >> /etc/ipsec.conf，注意一定要是　“＞＞”，不要输入成“＞”。

7、 scp /etc/ipsec.conf   root@right:/etc/ipsec.conf

在left服务器，将配置好的ipsec.conf拷贝到right服务器，这里做了这么多，其实就要要达到left和right两个服务器上的 ipsec.conf文件配置相同,而两台服务器产生rsasigkey值又不一样，当然你也可用复制、粘贴的方法输入rsasigkey的值，或许你有更好的办法，目的就是在left服务器的ipsec.conf文件上要有right服务器的rsasigkey值，反之亦然。

8、 校验ipsec

[root@right ~]# ipsec verify

Checking your system to see if IPsec got installed and started correctly:

Version check and ipsec on-path                            [OK]

Linux Openswan 2.4.7 (klips)

Checking for IPsec support in kernel                         [OK]

Testing against enforced SElinux mode                          [OK]

Checking for RSA private key (/etc/ipsec.secrets)              　　[OK]

Checking that pluto is running                               [OK]

Two or more interfaces found, checking IP forwarding          　[OK]

Checking NAT and MASQUERADEing                      [OK]

Checking for 'ip' command                                  [OK]

Checking for 'iptables' command                            [OK]

Opportunistic Encryption Support                            [DISABLED]

 

出现以上提示，你的VPN已经OK了，

9、 ipsec auto --up network-to-network

在两个服务器上运行以上命令，启动VPN。

10、检查隧道建立情况，在right服务器上，

[root@right ~]# ipsec eroute

922        172.21.1.0/24    -> 176.20.1.0/24    => tun0x1004@203.86.61.173

[root@right ~]#

在left服务器上，

[root@left ~]# ipsec eroute

915        176.20.1.0/24    -> 172.21.1.0/24    => tun0x1004@203.86.61.172

[root@left ~]#

出现这两行，说明隧道已经建立了，　也可以用下面这个命令检查隧道，信息更丰富。

[root@right ~]# ipsec look

在172.21.1.0/24和176.20.1.0/24这两个局域网内，互相对ping，应该能ping通了。现在我们就能互相访问这两个局域网内的服务了。这可是真实环境配置哦。