From 583a235bb4410e3e95241714b0d8fd574b5cf515 Mon Sep 17 00:00:00 2001 From: wxy Date: Fri, 14 Nov 2014 15:15:24 +0800 Subject: [PATCH] PUB:How to create a site-to-site IPsec VPN tunnel using Openswan in Linux MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit @SPccman 翻译的不错! --- ...Psec VPN tunnel using Openswan in Linux.md | 39 ++++++++++--------- 1 file changed, 21 insertions(+), 18 deletions(-) rename {translated/tech => published}/How to create a site-to-site IPsec VPN tunnel using Openswan in Linux.md (73%) diff --git a/translated/tech/How to create a site-to-site IPsec VPN tunnel using Openswan in Linux.md b/published/How to create a site-to-site IPsec VPN tunnel using Openswan in Linux.md similarity index 73% rename from translated/tech/How to create a site-to-site IPsec VPN tunnel using Openswan in Linux.md rename to published/How to create a site-to-site IPsec VPN tunnel using Openswan in Linux.md index 2a340add61..d5ba37285a 100644 --- a/translated/tech/How to create a site-to-site IPsec VPN tunnel using Openswan in Linux.md +++ b/published/How to create a site-to-site IPsec VPN tunnel using Openswan in Linux.md @@ -1,8 +1,8 @@ -在Linux中使用Openswan搭建站点到站点IPsec VPN 隧道 +在Linux中使用Openswan搭建站点到站点的IPsec VPN 隧道 ================================================================================ -虚拟私有网络(VPN)隧道通过Internet隧道技术将两个不同地理位置的网络安全的连接起来。当这两个网络是使用私有IP地址的私有局域网络时,那么两个网络之间是不能相互访问的,这时使用隧道技术就可以使得子网间的主机进行通讯。例如,VPN隧道技术经常被用于大型机构中不同办公区域子网的连接。 +虚拟私有网络(VPN)隧道是通过Internet隧道技术将两个不同地理位置的网络安全的连接起来的技术。当两个网络是使用私有IP地址的私有局域网络时,它们之间是不能相互访问的,这时使用隧道技术就可以使得两个子网内的主机进行通讯。例如,VPN隧道技术经常被用于大型机构中不同办公区域子网的连接。 -有时,使用VPN隧道仅仅是因为它很安全。服务提供商与公司会使用这样一种方式设网络,他们将重要的服务器(如,数据库,VoIP,银行服务器)放置到一个子网内,仅仅让有权限的用户通过VPN隧道进行访问。如果需要搭建一个安的VPN隧道,通常会选用[IPsec][1],因为IPsec VPN隧道被多重安全层所保护。 +有时,使用VPN隧道仅仅是因为它很安全。服务提供商与公司会使用这样一种方式架设网络,他们将重要的服务器(如,数据库,VoIP,银行服务器)放置到一个子网内,仅仅让有权限的用户通过VPN隧道进行访问。如果需要搭建一个安全的VPN隧道,通常会选用[IPsec][1],因为IPsec VPN隧道被多重安全层所保护。 这篇指导文章将会告诉你如何构建站点到站点的 VPN隧道。 @@ -58,17 +58,18 @@ 最后,我们为NAT创建防火墙规则。 # iptables -t nat -A POSTROUTING -s site-A-private-subnet -d site-B-private-subnet -j SNAT --to site-A-Public-IP -确保防火墙规则的健壮性。 + +请确保上述防火墙规则是持久有效的(LCTT 译注:你可以save这些规则或加到启动脚本中)。 #### 注意: #### -- 你可以使用MASQUERAD替代SNAT(iptables).理论上说它也能正常工作,但是有可能会与VPS发生冲突,所以我任然建议使用SNAT. +- 你可以使用MASQUERAD替代SNAT(iptables)。理论上说它也能正常工作,但是有可能会与VPS发生冲突,所以我仍然建议使用SNAT。 - 如果你同时在管理B点,那么在B点也设置同样的规则。 - 直连路由则不需要SNAT。 -### 准配置文件 ### +### 准备配置文件 ### -我们将要用配置的第一个文件是ipsec.conf。不论你将要配置哪一台服务器,总是将你这端的服务器看成是左边的,而将远端的看作是右边的。以下配置是在站点A的VPN服务器做的。 +我们将要用来配置的第一个文件是ipsec.conf。不论你将要配置哪一台服务器,总是将你这端的服务器看成是左边的,而将远端的看作是右边的。以下配置是在站点A的VPN服务器做的。 # vim /etc/ipsec.conf @@ -130,7 +131,7 @@ right= rightsubnet=/netmask -有许多方式实现身份验证。这里使用预共享密钥,并将它添加到文件 file /etc/ipsec.secrets。 +有许多方式实现身份验证。这里使用预共享密钥,并将它添加到文件 /etc/ipsec.secrets。 # vim /etc/ipsec.secrets @@ -148,10 +149,10 @@ 如果所有服务器没有问题的话,那么可以打通隧道了。注意以下内容后,你可以使用ping命令来测试隧道。 -1.A点不可达B点的子网,当隧道没有启动时ping无效。 -1.隧道启动后,在A点直接ping B点的子网IP。是可以ping通的。 +1. A点不可达B点的子网,当隧道没有启动时ping不通。 +1. 隧道启动后,在A点直接ping B点的子网IP,是可以ping通的。 -并且,到达目的子网的路由也会出现在服务器的路由表中。(译者:子网指的是site-B,服务器指的是site-A) +并且,到达目的子网的路由也会出现在服务器的路由表中。(LCTT译注:这里“子网”指的是site-B,“服务器”指的是site-A) # ip route @@ -192,21 +193,23 @@ 如果你确信所有配置都是正确的,但是你的隧道任然无法启动,那么你需要检查以下的事件。 -1.很多ISP会过滤IPsec端口。确认你的网络ISP允许使用UDP 500, TCP/UDP 4500端口。你可以试着在远端通过talnet连接服务器的IPsec端口。 -1.确认所用的端口在服务器防火墙规则中是允许的。 -1.确认两端服务器的预共享密钥是一致的。 -1.左边和右边的参数应该正确配置在两端的服务器上 -1.如果你遇到的是NAT问题,试着使用SNAT替换MASQUERADING。 +1. 很多ISP会过滤IPsec端口。确认你的网络ISP允许使用UDP 500, TCP/UDP 4500端口。你可以试着在远端通过telnet连接服务器的IPsec端口。 +1. 确认所用的端口在服务器防火墙规则中是允许的。 +1. 确认两端服务器的预共享密钥是一致的。 +1. 左边和右边的参数应该正确配置在两端的服务器上 +1. 如果你遇到的是NAT问题,试着使用SNAT替换MASQUERADING。 -总结,这篇指导重点在于使用Openswa搭建站点到站点IPsec VPN的流程。管理员可以使用VPN使得一些重要的资源仅能通过隧道来获取,这对于加强安全性很有效果。同时VPN确保数据不被监听以及截。 +总结,这篇指导重点在于使用Openswan搭建站点到站点IPsec VPN的流程。管理员可以使用VPN使得一些重要的资源仅能通过隧道来获取,这对于加强安全性很有效果。同时VPN确保数据不被监听以及劫持。 希望对你有帮助。让我知道你的意。 +--- + via: http://xmodulo.com/2014/08/create-site-to-site-ipsec-vpn-tunnel-openswan-linux.html 作者:[Sarmed Rahman][a] 译者:[SPccman](https://github.com/SPccman) -校对:[校对者ID](https://github.com/校对者ID) +校对:[wxy](https://github.com/wxy) 本文由 [LCTT](https://github.com/LCTT/TranslateProject) 原创翻译,[Linux中国](http://linux.cn/) 荣誉推出