虚拟专用网(×××)隧道用来通过基于互联网的一条隧道,将两个不同的物理网络安全地互联起来。不同的网络是拥有全局非路由专用IP地址的专用以太网子网时,就需要隧道机制,因为这些子网无法通过基于互联网的传统路由连接到对方。比如说,常常建立×××隧道,连接属于同一家机构的使用网络地址转换(NAT)技术的不同分支机构网络。
有时候,还可能仅仅为了安全方面的考虑而使用×××隧道机制。服务提供商或私营公司以这样一种方式来设计其网络:关键的服务器(比如数据库、VoIP或银行业务服务器)部署在只有可信赖的人员通过×××隧道才能访问的子网中。需要安全的×××隧道时,IPsec常常是一个优先的选择,因为IPsec ×××隧道采用了多层安全机制来加以保护。
本教程将演示我们在Linux中使用Openswan建立站点到站点的×××隧道有多容易。
拓扑结构
本教程将着重介绍用于建立IPsec隧道的下列拓扑结构。
安装软件包和准备×××服务器
通常情况下,你只要管理站点A,但是根据实际需要,你有可能同时管理站点A和站点B。我们先从安装Openswan开始入手。
在基于红帽的系统上(CentOS、Fedora或RHEL):
# yum install openswan lsof
在基于Debian的系统上(Debian、Ubuntu或Linux Mint):
# apt-get install openswan
现在,我们使用下面这些命令,禁用服务器中的×××重定向,如果有×××重定向的话:
# for vpn in /proc/sys/net/ipv4/conf/*; # do echo 0 > $vpn/accept_redirects; # echo 0 > $vpn/send_redirects; # done
下一步,我们改动内核参数,允许IP转发、永久性禁止重定向。
# vim /etc/sysctl.conf net.ipv4.ip_forward = 1 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0
重新装入/etc/sysctl.conf:
# sysctl -p
我们开启防火墙的必要端口。务必确保规则与现有的防火墙规则没有冲突。
# iptables -A INPUT -p udp --dport 500 -j ACCEPT # iptables -A INPUT -p tcp --dport 4500 -j ACCEPT # iptables -A INPUT -p udp --dport 4500 -j ACCEPT
最后,我们为NAT创建防火墙规则。
# iptables -t nat -A POSTROUTING -s site-A-private-subnet -d site-B-private-subnet -j SNAT --to site-A-Public-IP
务必确保防火墙规则具有持续性。
注意:
你可以使用MASQUERADE来代替SNAT。按道理来说它应该可以,但在过去导致我的虚拟专用服务器(VPS)出现过问题。所以,如果我是你,就会使用SNAT。
如果你同时在管理站点B,就在站点B服务器中创建类似的规则。
直接路由不需要SNAT。
准备配置文件
我们将要处理的第一个配置文件是ipsec.conf。无论你配置的是哪台服务器,总是将你的站点想成“left”,将远程站点想成“right”。下列配置在站点A的×××服务器中完成。
# vim /etc/ipsec.conf ## 基本的配置参数## config setup plutodebug=all plutostderrlog=/var/log/pluto.log protostack=netkey nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/16 ## 禁用红帽中的随机加密## oe=off ## 禁用Debian中的随机加密## ## 注意:这是一个单独的声明语句## include /etc/ipsec.d/examples/no_oe.conf ## 红帽中的连接定义##conn demo-connection-redhat authby=secret auto=start ike=3des-md5 ## 第1个阶段## keyexchange=ike ## 第2个阶段## phase2=esp phase2alg=3des-md5 compress=no pfs=yes type=tunnel left=<siteA-public-IP> leftsourceip=<siteA-public-IP> leftsubnet=<siteA-private-subnet>/netmask ## 针对直接路由## leftsubnet=<siteA-public-IP>/32 leftnexthop=%defaultroute right=<siteB-public-IP> rightsubnet=<siteB-private-subnet>/netmask ## Debian中的连接定义## conn demo-connection-debian authby=secret auto=start ## 第1个阶段 ## keyexchange=ike ## 第2个阶段 ## esp=3des-md5 pfs=yes type=tunnel left=<siteA-public-IP> leftsourceip=<siteA-public-IP> leftsubnet=<siteA-private-subnet>/netmask ## 针对直接路由## leftsubnet=<siteA-public-IP>/32 leftnexthop=%defaultroute right=<siteB-public-IP> rightsubnet=<siteB-private-subnet>/netmask
可以通过几种不同的方式来进行验证。本教程将探讨预共享密钥的使用,该密钥被添加到文件/etc/ipsec.secrets中。
# vim /etc/ipsec.secrets siteA-public-IP siteB-public-IP: PSK "pre-shared-key" ## in case of multiple sites ## siteA-public-IP siteC-public-IP: PSK "corresponding-pre-shared-key"
开启服务和故障排查
服务器现在应该准备好建立站点到站点的×××隧道了。要是你还管理站点B,务必确保已配置好了站点B服务器的必要参数。如果是基于红帽的系统,务必确保你使用chkconfig命令,将服务添加到启动项中。
# /etc/init.d/ipsec restart
要是两端的服务器都没有错误,现在隧道应该已建立起来。考虑到下列因素,你可以使用ping命令来测试隧道了。
1. 站点B专用子网应该无法从站点A来访问;也就是说,要是隧道未建立起来,ping应该不管用。
2. 隧道建立起来后,试着从站点A用ping连通站点B专用子网。这应该管用。
另外,通向目的地专用子网的路由应该出现在服务器的路由表中。
# ip route [siteB-private-subnet] via [siteA-gateway] dev eth0 src [siteA-public-IP] default via [siteA-gateway] dev eth0
此外,我们可以使用下面这些实用命令,检查隧道的状态。
# service ipsec status IPsec running - pluto pid: 20754 pluto pid 20754 1 tunnels up some eroutes exist # ipsec auto --status ## 输出被截断## 000 "demo-connection-debian": myip=<siteA- public-IP>; hisip=unset; 000 "demo-connection-debian": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0; nat_keepalive: yes 000 "demo-connection-debian": policy: PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW+SAREFTRACK+lKOD+rKO D; prio: 32,28; interface: eth0; ## 输出被截断## 000 #184: "demo-connection-debian":500 STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 1653s; newest IPSEC; eroute owner; isakmp#183; idle; import:not set ## 输出被截断## 000 #183: "demo-connection-debian":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 1093s; newest ISAKMP; lastdpd=- 1s(seq in:0 out:0); idle; import:not set
日志文件/var/log/pluto.log还应该含有验证、密钥交换方面的实用信息,以及隧道不同阶段方面的信息。要是你的隧道没有出现,还应该检查日志文件。.
如果你确信所有配置正确无误,如果你的隧道仍然没有出现,就应该检查下列方面。
1. 许多互联网服务提供商(ISP)对IPsec端口进行过滤。确保你的ISP允许UDP 500端口和TCP/UDP 4500端口。你可以通过telnet,试着从远程位置连接至你服务器的IPsec端口。
2. 确保服务器的防火墙中允许必要的端口。
3. 确保预共享密钥在两端的服务器中一模一样。
4. left和right参数在两端的服务器上都应该合理配置。
5. 如果你在NAT方面遇到了问题,试着使用SNAT,而不是MASQUERADING。
总之,本教程着重介绍了在Linux中使用Openswan建立站点到站点的IPSec ×××隧道这个过程。×××隧道在增强安全性方面非常有用,因为它们让管理员们可以做到只通过隧道才能访问关键资源。另外,×××隧道确保了传输中数据安全可靠,不会被人窃听或截获。
但愿本文有所帮助。欢迎交流心得。
英文原文:http://xmodulo.com/2014/08/create-site-to-site-ipsec-vpn-tunnel-openswan-linux.html