博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
ipsec-tools之racoon搭建
阅读量:6271 次
发布时间:2019-06-22

本文共 2845 字,大约阅读时间需要 9 分钟。

hot3.png

简介:kernel从Linux2.6内核开始就自带ipsec模块,即ipsec-tools,主要包括libipsec、setkey、racoon和racoonctl这个模块,setkey主要用于配置SAD(安全关联数据库)和SPD(安全策略数据库),racoon用于IKE协商,既实现了双向认证,又能建立和维护IPsec SA。下面使用psk的认证方法配置racooon。

Ipsec v1搭建,debian 7 64位Linux下编译racoon(最简单的安装方法是直接apt-get install -y racoon,然后按需配置)

1,获取源

echo "deb http://www.miroir.vbrunet.eu/debian/ stable main #contrib non-free
deb-src http://www.miroir.vbrunet.eu/debian/ stable main #contrib non-free
deb http://security.debian.org/ stable/updates main" >> /etc/apt/sources.list

apt-get update

apt-get upgrade -y

apt-get -y install build-essential fakeroot dpkg-dev

apt-get source racoon

apt-get -y build-dep racoon 

2,编译安装

echo "export LC_ALL=C" >> /root/.bashrc
source /root/.bashrc 

dpkg-source -x ipsec-tools_0.8.2+20140711-2+deb8u1.dsc

cd ipsec-tools-0.8.2+20140711
fakeroot debian/rules binary
dpkg -i ../ipsec-tools_0.8.2+20140711-2+deb8u1_amd64.deb 

apt-get install init-system-helpers

dpkg -i ../racoon_0.8.2+20140711-2+deb8u1_amd64.deb

3,设置配置文件

 PSK

cat > /etc/racoon/psk.txt <<-EOF
# Group Name Group Secret
vpn gooday                       前面vpn组名,后面vpn预置密钥
EOF

欢迎信息(可随意写)

cat > /etc/racoon/motd <<-EOF
welcome!
EOF

chmod 700 /etc/racoon/psk.txt

主配置文件

cat > /etc/racoon/racoon.conf <<-EOF

path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

listen {

isakmp YOURSERVERIP [500];     服务器外网ip     
isakmp_natt YOURSERVERIP [4500]; 
}

remote anonymous {

exchange_mode aggressive, main, base;  同时支持主模式和野蛮模式
mode_cfg on;   通过modcfg获取dns配置
proposal_check obey;
nat_traversal on;  开启NAT-T
generate_policy unique;
ike_frag on;
passive on;
dpd_delay 20; 死链接超时间隔

proposal {

lifetime time 28800 sec;
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method xauth_psk_server; psk用户名密码认证
dh_group 2;
}
}

sainfo anonymous {

encryption_algorithm aes, 3des, blowfish;
authentication_algorithm hmac_sha1, hmac_md5;
compression_algorithm deflate;
}

mode_cfg {

auth_source system;  系统用户名和密码认证
dns4 8.8.8.8; 
banner "/etc/racoon/motd";  欢迎字符
save_passwd on;
network4 192.168.10.20;   vpn内网ip
netmask4 255.255.255.0;
pool_size 200;         最大客户端数量
pfs_group 2;
}
EOF

4,设置iptables规则

iptables -A INPUT -p udp -–dport 500 -j ACCEPT

iptables -A INPUT -p udp --dport 4500 -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.10.20/24 -o eth0 -j MASQUERADE

iptables -A FORWARD -s 192.168.10.20/24 -j ACCEPT

5,设置数据转发

echo 1 > /proc/sys/net/ipv4/ip_forward

sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/g' /etc/sysctl.conf

6,测试

新建系统账号

useradd USER

passwd USER

7,启动服务器

racoon -F  调试模式

service racoon start  启动服务

8,Windows客户端连接测试

安装shrew site configuration

配置:

add

general选项remote host添加ip

authentication选项 method:mutual PSK + xauth,local identity type设置key identifier,keyid string设置为之前的组名vpn

credentials设置  pre shared key设置为之前的密钥gooday

保存后connect输入user:passwd回车,跳出welcome信息

显示tunnel enabled即连接成功.

 

 

转载于:https://my.oschina.net/u/2404183/blog/625137

你可能感兴趣的文章
Posix mq和SystemV mq区别
查看>>
P6 EPPM Manual Installation Guide (Oracle Database)
查看>>
XMPP协议、IM、客户端互联详解
查看>>
PHP写文件函数
查看>>
mysql的sql_mode合理设置
查看>>
函数连续性与可导性
查看>>
linux下libevent安装
查看>>
用ip来获得用户所在地区信息
查看>>
卡尔曼滤波
查看>>
linux下面覆盖文件,如何实现直接覆盖,不提示
查看>>
CSS3阴影 box-shadow的使用和技巧总结
查看>>
Linux下高cpu解决方案
查看>>
SQL事务用法begin tran,commit tran和rollback tran的用法
查看>>
centos7 crontab笔记
查看>>
.Net AppDomain.CurrentDomain.AppendPrivatePath(@"Libs");
查看>>
【Unity3D基础教程】给初学者看的Unity教程(零):如何学习Unity3D
查看>>
Android Mina框架的学习笔记
查看>>
合并两个排序的链表
查看>>
rtf格式的一些说明,转载的
查看>>
REST Security with JWT using Java and Spring Security
查看>>
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!-- 愿君每日到此一游!
当前时间: 2025-01-09 14:09:15   当前IP: 18.119.113.73   联系邮箱:javaeecc@qq.com     Copyright © 2020 - 2022 baihongyu.com 京ICP备2021015314号-2
强烈建议你试试无所不能的CHAT-GPT,快点击我
强烈建议你试试无所不能的CHAT-GPT,快点击我