十分鐘配置Openswan

十分鐘配置Openswan Openswan是什麼，做什麼用，我這裡不想再說，實在不知道的，就google一下了。理論的上知識也請google，這裡呢只想按照1、2、4、 5、6、7這種死步驟配置，保證能配通就OK了。因為網上的這類資料也多也全，只不過呢新手看上去有點困難，也不容易配置成功吧。 一、 系統安裝。1、 下載軟體cd /usr/local/src我喜歡把程式下載到這個目錄。wget http://www.openswan.org/download/openswan-2.4.7.tar.gz不過建議在windows下載，再拷貝到linunx系統下去，這樣比較快。2、 tar zxvf openswan-2.4.7.tar.gz3、 cd /usr/local/src/openswan-2.4.74、 make programs5、 make install6、 export KERNELSRC=/usr/src/kernels/2.6.9-11.EL-i686我的核心檔案是放在這裡，你的放在什麼位置要自己先確定好，這條不要硬搬。7、 make module8、 make minstall9、 depmod -a10、 modprobe ipsec11、 echo “1” > /proc/sys/net/ipv4/ip_forward12、 echo “0” > /selinux/enforce   好了，安裝完畢。 　　　檢查安裝情況　　　# ipsec --versionLinux Openswan 2.4.7 (klips)See `ipsec --copyright' for copyright information.出現以上提示，安裝成功。 二、 配置主要設定檔有兩個，ipsec.conf、ipsec.secrets。在這裡我們看看網路拓樸圖，網路一伺服器的內網接eth0介面，地址是172.21.1.1，外網接eth1介面，地址是203.86.61.172，主機是left，下連172.21.1.0/24這個區域網路。網路二伺服器的內網接eth0介面，地址是176.20.1.1，外網接eth1介面，地址是 203.86.61.173，主機是right，下連176.20.1.0/24這個區域網路。 1、 ipsec newhostkey –output /etc/ipsec.secrets在左、右伺服器裡，分別執行以上命令。2、 vi /etc/ipsec.conf，內容如下，比照下面檔案，修改和增加，其實要改和增加的地方並不多，有“#”的都是注釋，不用管。 # /etc/ipsec.conf - Openswan IPsec configuration file# RCSID $Id: ipsec.conf.in,v 1.15.2.6 2006/10/19 03:49:46 paul Exp $ # This file:   /usr/local/share/doc/openswan/ipsec.conf-sample## Manual:     ipsec.conf.5  version 2.0 # conforms to second version of ipsec.conf specification # basic configurationconfig setup# plutodebug / klipsdebug = "all", "none" or a combation from below:# "raw crypt parsing emitting control klips pfkey natt x509 private"# eg: plutodebug="control parsing"## ONLY enable plutodebug=all or klipsdebug=all if you are a developer !!## NAT-TRAVERSAL support, see README.NAT-Traversalinterfaces=%defaultroutenat_traversal=yes# virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12## enable this if you see "failed to find any available worker"nhelpers=0 # Add connections hereconn %defaultauthby=rsasigcompress=yes # sample VPN connections, see /etc/ipsec.d/examples/ #Disable Opportunistic Encryptioninclude /etc/ipsec.d/examples/no_oe.conf conn network-to-networkleft=203.86.61.173leftsubnet=176.20.1.0/24leftid=@left# RSA 2192 bits left Tue Mar 13 14:55:48 2007leftrsasigkey=0sAQPW/s8yMYIAPS97rK2JESc0ZOMrcuE2sFSdsfh++JGe97t7m1As+QPiVyLP6KuWlLBjIJzwvpUbipiCmKjmNKXZ+eS0dtAw1faVpVxa+7DJLgAnHjyafYW3SxXRF/xEp0HBckJNeGtjJheqtmWggUa6WejjhPNosmA7Zyj07ikW05JZYvUNf2uFBBupRMC0kwmFRpdah2IiDSecOy57LkACS6AFhX60PTh0Eip1N0cJUXjbrS95KudcPYsXpw6bKQbHl/Vku+0RfqIfZ2tXXcqj5OKJSeMp1fh6Bt+zh8T5qPZJNvU19xJufdSDQmaxI4XaGHwKmA1KIBotVS4F+0DVn0mvDIf1HfF/YNsKPiI9diJnleftnexthop=%defaultrouteright=203.86.61.172rightsubnet=172.21.1.0/24rightid=@right# RSA 2192 bits right Sun Mar 11 02:17:24 2007rightrsasigkey=0sAQO/ygUllGNfYd/3athFYSqb6GUdp18oMZ2LdOa3ToJCGATpJp6/C/0BpShGybNtb95kyKI63mVnWkYmN6NUW5qZJpMSnR5nWAVyHaNF1KbQ9j6ZhGLX0kRb80NNXPRCEpOCKDfqKtF0CbqghbqCtv2wV+gjt3MSO3d9WXWOT5xXJIwLohV+hA/rGrAMAz4Axcl9RudFnkKr3g0KYp86YktAPYJt8xBtqBFWdIO0WncWB3F/XpZKZdUMJ78M50yOHlBqOOnemkAnVfFFGCBJj27aheDFpp1QPhRdqjExsHK5mT3uKxJPehOqoJaIqcHMHJlBUxXNhGz5+T/AiaLkiwtbtHQjIWAtyUklbGUAql8EG1o9rightnexthop=%defaultrouteauto=add leftrsasigkey和rightrsasigkey這行，不要硬搬，因為這兩行是我的機器上的，你的數值和我的不一樣，可用下面方法輸入。在left伺服器裡。3、 ipsec showhostkey --left >> /etc/ipsec.conf，注意一定要是　“＞＞”，不要輸入成“＞”。4、 再到right伺服器裡，ipsec showhostkey   --right > rightrsasigkey.tmp5、 scp ./rightrsasigkey.tmp root@left:/etc/rightrsasigkey.tmp將在right伺服器產生的rightrsasigkey.tmp檔案，拷貝到left伺服器的/etc/目錄下6、 在left服務裡，cd /etc/cat   rightrsasigkey.tmp >> /etc/ipsec.conf，注意一定要是　“＞＞”，不要輸入成“＞”。7、 scp /etc/ipsec.conf   root@right:/etc/ipsec.conf在left伺服器，將配置好的ipsec.conf拷貝到right伺服器，這裡做了這麼多，其實就要要達到left和right兩個伺服器上的 ipsec.conf檔案配置相同,而兩台伺服器產生rsasigkey值又不一樣，當然你也可用複製、粘貼的方法輸入rsasigkey的值，或許你有更好的辦法，目的就是在left伺服器的ipsec.conf檔案上要有right伺服器的rsasigkey值，反之亦然。8、 校正ipsec[root@right ~]# ipsec verifyChecking your system to see if IPsec got installed and started correctly:Version check and ipsec on-path                            [OK]Linux Openswan 2.4.7 (klips)Checking for IPsec support in kernel                         [OK]Testing against enforced SElinux mode                          [OK]Checking for RSA private key (/etc/ipsec.secrets)              　　[OK]Checking that pluto is running                               [OK]Two or more interfaces found, checking IP forwarding          　[OK]Checking NAT and MASQUERADEing                      [OK]Checking for 'ip' command                                  [OK]Checking for 'iptables' command                            [OK]Opportunistic Encryption Support                            [DISABLED] 出現以上提示，你的VPN已經OK了，9、 ipsec auto --up network-to-network在兩個伺服器上運行以上命令，啟動VPN。10、檢查隧道建立情況，在right伺服器上，[root@right ~]# ipsec eroute922        172.21.1.0/24    -> 176.20.1.0/24    => tun0x1004@203.86.61.173[root@right ~]#在left伺服器上，[root@left ~]# ipsec eroute915        176.20.1.0/24    -> 172.21.1.0/24    => tun0x1004@203.86.61.172[root@left ~]#出現這兩行，說明隧道已經建立了，　也可以用下面這個命令檢查隧道，資訊更豐富。[root@right ~]# ipsec look在172.21.1.0/24和176.20.1.0/24這兩個區域網路內，互相對ping，應該能ping通了。現在我們就能互相訪問這兩個區域網路內的服務了。這可是真實環境配置哦。