虚拟专用网(×××)隧道用来通过基于互联网的一条隧道,将两个不同的物理网络安全地互联起来。不同的网络是拥有全局非路由专用IP地址的专用以太网子网时,就需要隧道机制,因为这些子网无法通过基于互联网的传统路由连接到对方。比如说,常常建立×××隧道,连接属于同一家机构的使用网络地址转换(NAT)技术的不同分支机构网络。

有时候,还可能仅仅为了安全方面的考虑而使用×××隧道机制。服务提供商或私营公司以这样一种方式来设计其网络:关键的服务器(比如数据库、VoIP或银行业务服务器)部署在只有可信赖的人员通过×××隧道才能访问的子网中。需要安全的×××隧道时,IPsec常常是一个优先的选择,因为IPsec ×××隧道采用了多层安全机制来加以保护。

本教程将演示我们在Linux中使用Openswan建立站点到站点的×××隧道有多容易。

拓扑结构

本教程将着重介绍用于建立IPsec隧道的下列拓扑结构。

Linux中如何使用Openswan建立站点到站点的IPsec ×××隧道_Linux中如何使用Openswan建立 

Linux中如何使用Openswan建立站点到站点的IPsec ×××隧道_Linux中如何使用Openswan建立_02 

Linux中如何使用Openswan建立站点到站点的IPsec ×××隧道_Linux中如何使用Openswan建立_03

安装软件包和准备×××服务器

通常情况下,你只要管理站点A,但是根据实际需要,你有可能同时管理站点A和站点B。我们先从安装Openswan开始入手。

在基于红帽的系统上(CentOS、Fedora或RHEL):

# yum install openswan lsof

在基于Debian的系统上(Debian、Ubuntu或Linux Mint):

# apt-get install openswan

现在,我们使用下面这些命令,禁用服务器中的×××重定向,如果有×××重定向的话:

# for vpn in /proc/sys/net/ipv4/conf/*;  # do echo 0 > $vpn/accept_redirects;  # echo 0 > $vpn/send_redirects;  # done

下一步,我们改动内核参数,允许IP转发、永久性禁止重定向。

# vim /etc/sysctl.conf  net.ipv4.ip_forward = 1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0

重新装入/etc/sysctl.conf:

# sysctl -p

我们开启防火墙的必要端口。务必确保规则与现有的防火墙规则没有冲突。

# iptables -A INPUT -p udp --dport 500 -j ACCEPT  # iptables -A INPUT -p tcp --dport 4500 -j ACCEPT  # iptables -A INPUT -p udp --dport 4500 -j ACCEPT

最后,我们为NAT创建防火墙规则。

# iptables -t nat -A POSTROUTING -s site-A-private-subnet -d site-B-private-subnet -j SNAT --to site-A-Public-IP

务必确保防火墙规则具有持续性。

注意:

你可以使用MASQUERADE来代替SNAT。按道理来说它应该可以,但在过去导致我的虚拟专用服务器(VPS)出现过问题。所以,如果我是你,就会使用SNAT。

如果你同时在管理站点B,就在站点B服务器中创建类似的规则。

直接路由不需要SNAT。

准备配置文件

我们将要处理的第一个配置文件是ipsec.conf。无论你配置的是哪台服务器,总是将你的站点想成“left”,将远程站点想成“right”。下列配置在站点A的×××服务器中完成。

# vim /etc/ipsec.conf  ## 基本的配置参数##  config setup  plutodebug=all plutostderrlog=/var/log/pluto.log  protostack=netkey nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/16  ## 禁用红帽中的随机加密##  oe=off ## 禁用Debian中的随机加密##  ## 注意:这是一个单独的声明语句##  include /etc/ipsec.d/examples/no_oe.conf  ## 红帽中的连接定义##conn demo-connection-redhat  authby=secret auto=start ike=3des-md5  ## 第1个阶段## keyexchange=ike ## 第2个阶段## phase2=esp phase2alg=3des-md5  compress=no pfs=yes type=tunnel left=<siteA-public-IP> leftsourceip=<siteA-public-IP> leftsubnet=<siteA-private-subnet>/netmask  ## 针对直接路由## leftsubnet=<siteA-public-IP>/32  leftnexthop=%defaultroute  right=<siteB-public-IP> rightsubnet=<siteB-private-subnet>/netmask  ## Debian中的连接定义## conn demo-connection-debian  authby=secret auto=start ## 第1个阶段 ## keyexchange=ike ## 第2个阶段 ## esp=3des-md5  pfs=yes type=tunnel left=<siteA-public-IP> leftsourceip=<siteA-public-IP> leftsubnet=<siteA-private-subnet>/netmask  ## 针对直接路由## leftsubnet=<siteA-public-IP>/32  leftnexthop=%defaultroute  right=<siteB-public-IP> rightsubnet=<siteB-private-subnet>/netmask

可以通过几种不同的方式来进行验证。本教程将探讨预共享密钥的使用,该密钥被添加到文件/etc/ipsec.secrets中。

# vim /etc/ipsec.secrets  siteA-public-IP siteB-public-IP: PSK "pre-shared-key" ## in case of multiple sites ## siteA-public-IP siteC-public-IP: PSK "corresponding-pre-shared-key"

开启服务和故障排查

服务器现在应该准备好建立站点到站点的×××隧道了。要是你还管理站点B,务必确保已配置好了站点B服务器的必要参数。如果是基于红帽的系统,务必确保你使用chkconfig命令,将服务添加到启动项中。

# /etc/init.d/ipsec restart

要是两端的服务器都没有错误,现在隧道应该已建立起来。考虑到下列因素,你可以使用ping命令来测试隧道了。

1. 站点B专用子网应该无法从站点A来访问;也就是说,要是隧道未建立起来,ping应该不管用。

2. 隧道建立起来后,试着从站点A用ping连通站点B专用子网。这应该管用。

另外,通向目的地专用子网的路由应该出现在服务器的路由表中。

# ip route  [siteB-private-subnet] via [siteA-gateway] dev  eth0 src [siteA-public-IP]  default via [siteA-gateway] dev eth0

此外,我们可以使用下面这些实用命令,检查隧道的状态。

# service ipsec status  IPsec running - pluto pid: 20754  pluto pid 20754  1 tunnels up  some eroutes exist  # ipsec auto --status  ## 输出被截断##  000 "demo-connection-debian": myip=<siteA- public-IP>; hisip=unset;  000 "demo-connection-debian": ike_life: 3600s;  ipsec_life: 28800s; rekey_margin: 540s;  rekey_fuzz: 100%; keyingtries: 0; nat_keepalive:  yes  000 "demo-connection-debian": policy:  PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW+SAREFTRACK+lKOD+rKO  D; prio: 32,28; interface: eth0;  ## 输出被截断##  000 #184: "demo-connection-debian":500  STATE_QUICK_R2 (IPsec SA established);  EVENT_SA_REPLACE in 1653s; newest IPSEC; eroute  owner; isakmp#183; idle; import:not set  ## 输出被截断##  000 #183: "demo-connection-debian":500  STATE_MAIN_I4 (ISAKMP SA established);  EVENT_SA_REPLACE in 1093s; newest ISAKMP; lastdpd=-  1s(seq in:0 out:0); idle; import:not set

日志文件/var/log/pluto.log还应该含有验证、密钥交换方面的实用信息,以及隧道不同阶段方面的信息。要是你的隧道没有出现,还应该检查日志文件。.

如果你确信所有配置正确无误,如果你的隧道仍然没有出现,就应该检查下列方面。

  • 1. 许多互联网服务提供商(ISP)对IPsec端口进行过滤。确保你的ISP允许UDP 500端口和TCP/UDP 4500端口。你可以通过telnet,试着从远程位置连接至你服务器的IPsec端口。

  • 2. 确保服务器的防火墙中允许必要的端口。

  • 3. 确保预共享密钥在两端的服务器中一模一样。

  • 4. left和right参数在两端的服务器上都应该合理配置。

  • 5. 如果你在NAT方面遇到了问题,试着使用SNAT,而不是MASQUERADING。

总之,本教程着重介绍了在Linux中使用Openswan建立站点到站点的IPSec ×××隧道这个过程。×××隧道在增强安全性方面非常有用,因为它们让管理员们可以做到只通过隧道才能访问关键资源。另外,×××隧道确保了传输中数据安全可靠,不会被人窃听或截获。

但愿本文有所帮助。欢迎交流心得。

英文原文:http://xmodulo.com/2014/08/create-site-to-site-ipsec-vpn-tunnel-openswan-linux.html