OpenSWan安裝配置指南

1、文檔收集于互聯(lián)網(wǎng)，已重新整理排版word版本可編輯，有幫助歡迎下載支持. OpenSWan安裝配巻指南 來源:ChinaUnix博客 日期：09:27 (共有條評論)我要評論 一、OpenSWan 簡介 OpenSWan是Linux下IPscc的最佳實現(xiàn)方式，其功能強(qiáng)大，最大程度地保證了數(shù)據(jù)傳 輸中的安全性、完整性問題。 OpenSWan支持2.0、2.2、2.4以及2.6內(nèi)核，可以運(yùn)行在不同的系統(tǒng)平臺下，包括X86、 X86_64、IA64、MIPS 以及 ARM。 OpenSWan是開源項目 FreeS/WAN 停止開發(fā)后的后繼分支項目，由三個主要組件構(gòu)成： 配置工具ipsec命令腳本)

2、Key管理工具(pluto) 內(nèi)核組件(KLIPS/26sec) 26sec使用2.6內(nèi)核內(nèi)建模塊Netkey,用來替代OpenSWan開發(fā)的KLIPS模塊，2.4及 以下版本內(nèi)核無Nctkcy模塊支持，只能使用KLIPS.如果你用的是，推薦使用26sec,可以 不用給內(nèi)核打Nat-T補(bǔ)丁就可以使用NAT,推薦使用KLIPS。 更多詳情請參見OpenSWan項目主頁： 二、系統(tǒng)環(huán)境 本文使用VMWarc建立五臺虛擬Linux主機(jī)來進(jìn)行試驗。 操作系統(tǒng)： CentOS 4.4 內(nèi)核版本： 主機(jī)網(wǎng)絡(luò)參數(shù)設(shè)宜：如無特殊說明，子網(wǎng)掩碼均為 主機(jī)名 網(wǎng)卡ethO 網(wǎng)卡ethl 默認(rèn)網(wǎng)關(guān) 用途 LServ

3、er Left網(wǎng)關(guān) RServer Right網(wǎng)關(guān) LClient Left客戶機(jī) RClient Right客戶機(jī) Laptop Laptop客戶機(jī) 三、安裝設(shè)置操作系統(tǒng) 推薦使用CentOS 4.4,基于RedHat Enterprise AS 4.4安全加強(qiáng)的免費(fèi)可升級獨(dú)立分發(fā)版 本Linux操作系統(tǒng)，安裝過程不再詳述。需要注意的是，安裝時請確保選中開發(fā)軟件包，以 及 libgmp 軟件包(gmp、gmp-dcvcl)、gawk、flex、bison 以下步驟只需在LScrvcr、RServer及Laptop上執(zhí)行。 系統(tǒng)按前述參數(shù)安裝完畢后在LServer、RServer執(zhí)行以下命令：

4、 sysctl -a I egrep uipv4.*(acceptlsend)_redirectsn I awk -F H=M prim $1H= 0H* /etc/sysctl.conf 編輯 /etc/sysctl.conf vi /etc/sysctl.conf 將下而兩項： =0 =1 改為： =1 =0執(zhí)行以下命令使設(shè)置生效： sysctl -p 在LScrvcr上執(zhí)行以卜命令設(shè)宜NAT： iptables -t nat -A POSTROUTING -o ethO -s -d ! -j MASQUERADE 在 RServer 上執(zhí)行以 下命令設(shè)置NAT: iptables -t

5、nat -A POSTROUTING -o ethO -s -d ! -j MASQUERADE 四、安裝OpcnSWan 1. 下載源碼包 cd wget /openswan- 2. 解壓源碼包 tar zxvf openswan- 3.安裝 UserLand cd openswan-2.4.7 make programs make install4安裝KLIPS IPstack (可選，如果用26sec則不需安裝) 1) 安裝NATTravcrsal內(nèi)核補(bǔ)丁 export KERNELSRC=/usr/src/kernels/ make nattpatch /usr/src/openswa

6、n-ipsec-natt.patch cd $KERNELSRC cat /usr/src/openswan-ipsec-natt.patch I patch -pl -s make clean make oldconfig當(dāng)執(zhí)行make oldconfig命令時,由于添加了 Nat)補(bǔ)丁，會出現(xiàn)以F 提示： IPSEC NAT-Traversal (KLIPS compatible) (IPSEC_NAT_TR AVERS AL) N/y/? (NEW) 按y鍵確認(rèn)后繼續(xù)完成make oldconfig命令 繼續(xù)執(zhí)行以下命令重新編譯安裝內(nèi)核 make make modulesjnstall

7、make install編譯安裝完成新內(nèi)核后請重啟系統(tǒng)，以啟用新內(nèi)核 2) 安裝 KLIPS cd -/openswan-2.4.7 make KERNELSRC=/lib/modulesTuname -f/build module minstall depmod -a加載KLIPS模塊前必須先卸載NETKEY模塊 rmmod xfrmuser af_key esp4 ah4 ipcomp xfrm4_tunnel執(zhí)行以下命令加載 KLIPS modprobc ipsec 5. 驗證安裝 執(zhí)行下面的命令驗證OpcnSWan是否正確安裝 ipsec -version如果程序正確安裝，此命令將顯示

8、以下三種可能結(jié)果： 如果已加載的IPscc stack是NETKEY,顯示如下 Linux Openswan (netkey) See xipsec -copyright* for copyright information.如果已加載的 IPsec stack 是 KLIPS,顯 示如下 Linux Openswan 2.4.7 (klips) Sec、ipscc -copyright* for copyright information.如果沒有加載任何 IPsec stack,顯示如 下 Linux Openswan kernel code presently loaded) See i

9、psec -copyright* for copyright information. 6. 特別說明 如果系統(tǒng)中NETKEY. KLIPS模塊同時存在，OpenSWan按以下規(guī)則加載英一: 通常情況下，OpcnSWan啟動時使用已經(jīng)加載的模塊； 如果NETKEY與KLIPS兩者都已經(jīng)加載，OpenSWan不能啟動； 如果未加載任何模塊，OpenSWan首選加載NETKEY; 如果NETKEY加載失敗，OpenSWan加載KLIPS; 如果兩者都不能正常加載，OpenSWan啟動失敗。 五、配置OpenSWan 1. OpensWan主要配置文件 /etc/ipsec.secrets /etc

10、/ipsec.conf OpenSWan主要配宜目錄 用來保存 private RSA keys 和 preshared secrets (PSKs) 配置文件(settings, options, defaults, connections) 2. /etc/ipsec.d/cacerts /etc/ipsec.d/certs /etc/ipsec.d/private /etc/ipsec.d/crls 存放X.509認(rèn)證證書(根證書一root certificates0) 存放 X.509 客戶端證書(X.509 client Certificates) 存放 X.509 認(rèn)證私鑰(X.5

11、09 Certificate private keys) 存放 X.509 證書撤消列表(X.509 Certificate Revocation Lists) /etc/ipsec.d/ocspcerts certificates) /etc/ipsec.d/passwd /etc/ipsec.d/policies 存放 X.500 OCSP 證書(Online Certificate Status Protocol XAUTH 密碼文件(XAUTH password file) 存放 Opportunistic Encryption 策略組(The Opportunistic Encrj-

12、ption policy groups)3. OpenSWan 連接方式 OpenSWan有兩種連接方式： 1) Network-To-Network 方式 顧名思義，Network-To-Network方式是把兩個網(wǎng)絡(luò)連接成一個虛擬專用網(wǎng)絡(luò)當(dāng) 連接建立后，每個子網(wǎng)的主機(jī)都可透明地訪問遠(yuǎn)程子網(wǎng)的主機(jī)。 要實現(xiàn)此種連接方式，要滿足以下兩個條件： I.每個子網(wǎng)各自擁有一臺安裝有OpenSWan的主機(jī)作為其子網(wǎng)的出口網(wǎng)關(guān)； II每個子網(wǎng)的IP段不能有疊加 2) Road Warrior 方式 當(dāng)使用Network-To-Network方式時，作為每個子網(wǎng)網(wǎng)關(guān)的主機(jī)不能像子網(wǎng)內(nèi)部主 機(jī)那樣透明訪問遠(yuǎn)程

13、子網(wǎng)的主機(jī)，也就是說： 如果你是一個使用Laptop的移動用戸，經(jīng)常出差或是在不同的地點(diǎn)辦公，你的 Laptop將不能用Network-To-Network方式與公司網(wǎng)絡(luò)進(jìn)行連接。 Road Warrior方式正是為這種情況而設(shè)汁的，連接建立后，你的Laptop就可以連接到遠(yuǎn)程的網(wǎng)絡(luò)了。 4. OpenSWan的認(rèn)證方式 Openswan 支持許多不同的認(rèn)證方式，包括 RSAkcys、pre-shared keys、XAUTH、x.509 證書方式 5使用RSA數(shù)字簽名（RSASIG）認(rèn)證方式配制OpenSWan 1）在 LServer RServer 及 Laptop 上生成新的 hostk

14、ey ipsec newhostkey -output /etc/ipsec.secrets 繼續(xù)以F 2-4步驟配宜LScrvcrRScrvcr之間的NciworkToNclwork方式鏈接: 2）在LScrvcr上執(zhí)行下面的命令獲得leftrsasigkey （即LServer的公鑰Pulic Key） ipsec showhostkey -left此命令的輸岀格式如下所示： # RSA 2192 bits Sat Mar 3 15:45:00 2007 leftrsasigkey=OsAQOBIJFnij3）在 RServer 上執(zhí)行下而的命令獲得 rightrsasigkey（即 RS

15、crvcr 的公鑰 Pulic Key） ipsec showhostkey -right此命令的輸岀格式如卜所示： # RSA2192 bits Sat Mar 3 15:51:56 2007 1文檔來源為:從網(wǎng)絡(luò)收集整理.word版本可編借. rightrsasigkey=OsAQNZZZjj4）在 LServer 及 RServer 上編輯Vctc/ipsec.conf vi /etc/ipsec.conf在最后添加如下內(nèi)容（leftrsasigkey及rightrsasigkey行換成前而 2,3步所取得的值） # LScrvcr外網(wǎng)IP地址 # LServer 內(nèi)網(wǎng) IP 段 con

16、n net-to-net left= leftsubnet= email=leftid= # LScrvcr的標(biāo)識 Ieftrsasigkey=OsAQOBIJFmj.# LServer 的公鑰 Ieftnexthop=%defaultroute# LServer的下一跳指龍為默認(rèn)路由地址 right= rightsubnet= # RScrvcr外網(wǎng)IP地址 # RScrvcr 內(nèi)網(wǎng) IP 段 email=rightid= email=rightid= # RScrvcr的標(biāo)識 rightrsasigkey=Os AQNZZZjj. rightnexthop=%defaultroute au

17、to=add # Rscrvcr的公鑰 # RServer的下一跳指定為默認(rèn)路由地址 #添加這個鏈接，但是在OpenSWan啟動時不自動 連接 繼續(xù)以下5-10步驟配置LSerfer-Laptop之間的Road Warrior方式： 5）在LapTop上執(zhí)行下面的命令獲得leftrsasigkey （即Laptop的公鑰Pulic Key） ipsec showhostkey -left此命令的輸出格式如卜所示： # RSA 2192 bits Sun Mar 11 09:14:25 2007 Ieftrsasigkey=OsAQOa8tu4E6）在 LServer 上執(zhí)行下而的命令獲得 ri

18、ghtrsasigkey （即 LServer 的公鑰 Pulic Key） ipsec showhostkey -right此命令的輸出格式如下所示： # RSA2192 bits Sat Mar 3 15:45:00 2007 rightrsasigkey=OsAQOBIJFmj7）在 Laptop 上編 W/etc/ipsec.conf vi /etc/ipsec.conf在最后添加如下內(nèi)容（leftrsasigkey 及 rightrsasigkey 行換成前面 5,6 步所取得的值） conn road left=%defaultroute#通過默認(rèn)路由獲取Laptop的IP ema

19、il=leftid= # Laptop的標(biāo)識 leftrsasigkey=OsAQOa8tu4E.# Laptop 的公鑰 right=# LServer 外網(wǎng) IP rightsubnet= # LServer 內(nèi)網(wǎng) IP 段 email=rightid= # LServer的標(biāo)識 rightrsasigkey=Os AQOBIJ Fmj. # LServer 的公鑰 auto=add#添加這個鏈接，但是在OpcnSWan啟動時不自動 連接 8）在LSener上執(zhí)行下而的命令獲得leftrsasigkey （即LSener的公鑰Pulic Key） ipsec showhostkey -le

20、ft此命令的輸出格式如卜所示： # RSA 2192 bits Sat Mar 3 15:45:00 2007 leftrsasigkey=OsAQOBIJFmj9）在 Laptop 上執(zhí)行下面的命令獲得 rightrsasigkey （即 Laptop 的公鑰 Pulic Key） ipsec showhostkey -right此命令的輸出格式如下所示： # RSA 2192 bits Sun Mar 11 09:14:25 2007 rightrsasigkey=OsAQOa8tu4E10）在 LServer 上編輯/etc/ipsec.conf vi /etc/ipsec.conf 步

21、所取得的值） 在最后添加如下內(nèi)容（leftrsasigkey及rightrsasigkey行換成前而8.9 conn road left= # LServer 外網(wǎng) IP email=leftid= # LServer的標(biāo)識 leftsubnet= # LServer 內(nèi)網(wǎng) IP 段 leftrsasigkey=0sAQOBIJFmj. rightnexthop=%defaultroute right=%any 代替任意IP # LServer的公鑰 # correct in many situations # Laptop的外網(wǎng)IP,可能使用動態(tài)IP,所以用any （email=righti

22、d= # Laptop的標(biāo)識 rightrsasigkey=OsAQOa8tu4E. auto=add # Laptop的公鑰 #添加這個鏈接，但是在OpenSWan啟動時不自動 連接 注意：在NctworkToNctwork方式下，兩邊網(wǎng)關(guān)/ctc/ipscc.conf中的鏈接配垃是一 樣的，即left和right是相同的，而在Road Warrior方式Laptop和網(wǎng)關(guān)上的鏈接配置是不同 的，即left指正在配置的本地主機(jī)right指與本地主機(jī)對應(yīng)的遠(yuǎn)程主機(jī)。 11）在LServerx RScrvcr及Laptop上執(zhí)行卜而的命令啟動OpcnSWan service ipsec star

23、t在LServer及RServer上執(zhí)彳亍下而的命令驗證OpcnSWan是否正常 運(yùn)行 ipsec verify如果OpcnSWan正常運(yùn)行，將會得到類似下面的輸出 Checking your system to see if IPsec got installed and started correctly: Version check and ipsec on-path Linux Openswan (netkey) Checking for IPsec support in kernel NETKEY detected, testing for disabled ICMP send_re

24、directs NETKEY detected, testing for disabled ICMP accept_redirects Checking for RSA private key (/etc/ipsec.secrets) Checking that pluto is ninning Two or more interfaces found, checking IP forwarding Checking NAT and MASQUERADEing Checking for ip command Checking for iptables* command Opportunisti

25、c Encryption Support OK IOK1 OKI OK OK OK OKI OK OKI DISABLED 13)在 LServer或RServer上執(zhí)行下面的命令進(jìn)行LServer-RServer之間的Network-To-Network連接 ipsec auto -叩net-to-net將會得到類似下而的輸出(如果最后的輸出行中出現(xiàn)IPsec SA established,說明連接成功) 104 Mnet-to-netH #1: STATE_MAINJI: initiate 003 unet-to-netM #1: received Vendor ID payload Op

26、enswan (this version) 2.4.7 PLUTO SENDS VENDORID PLUTO USES KEYRR 003 Mnct-to-netH #1: received Vendor ID payload Dead Peer Detection 003 Mnct-to-netH #1: received Vendor ID payload RFC 3947 method set to=110 106 Mnet-to-netH #1: STATE_MAIN2: sent MI2, expecting MR2 003 Mnct-to-netH #1: NAT-Traversa

27、l: Result using RFC 3947 (NAT-Traversal): no NAT detected 108 Mnet-to-netH #1: STATE_MAIN3: sent MI3, expecting MR3 004 Hnct-to-netn #1: STATE MAIN 14: ISAKMP SA established auth=OAKLEY RSA SIG ciphcr=oaklcy_3dcs_cbc_192 prf=oakley_md5 group=modpl536 117nnet-,* #2: STATE_QUICK_I1: initiate 004 unet-

28、to-netM #2: STATE_QUICK_I2: sent QI2, IPscc SA established ESP=0 xa329d030 14)在Laptop上執(zhí)行下而的命令進(jìn)行Laptop丄Server之間的Road Warrior連接 ipsec auto -up road將會得到類似下而的輸出(如果最后的輸岀行中岀現(xiàn)IPsec SA established,說明連接成功) 104 load” #1: STATE_MAIN_I1: initiate 003 Mroad,f #1: received Vendor ID payload Openswan (this version) 2.4.7 PLUTO SENDS VENDORID PLUTO USES KEYRR 003 MroadN #1: received Vendor ID payload (Dead Peer Detection 003 MroadN #1