mirror of
https://github.com/LCTT/TranslateProject.git
synced 2025-01-13 22:30:37 +08:00
PUB:How to create a site-to-site IPsec VPN tunnel using Openswan in Linux
@SPccman 翻译的不错!
This commit is contained in:
parent
a27517b986
commit
583a235bb4
@ -1,8 +1,8 @@
|
||||
在Linux中使用Openswan搭建站点到站点IPsec VPN 隧道
|
||||
在Linux中使用Openswan搭建站点到站点的IPsec VPN 隧道
|
||||
================================================================================
|
||||
虚拟私有网络(VPN)隧道通过Internet隧道技术将两个不同地理位置的网络安全的连接起来。当这两个网络是使用私有IP地址的私有局域网络时,那么两个网络之间是不能相互访问的,这时使用隧道技术就可以使得子网间的主机进行通讯。例如,VPN隧道技术经常被用于大型机构中不同办公区域子网的连接。
|
||||
虚拟私有网络(VPN)隧道是通过Internet隧道技术将两个不同地理位置的网络安全的连接起来的技术。当两个网络是使用私有IP地址的私有局域网络时,它们之间是不能相互访问的,这时使用隧道技术就可以使得两个子网内的主机进行通讯。例如,VPN隧道技术经常被用于大型机构中不同办公区域子网的连接。
|
||||
|
||||
有时,使用VPN隧道仅仅是因为它很安全。服务提供商与公司会使用这样一种方式设网络,他们将重要的服务器(如,数据库,VoIP,银行服务器)放置到一个子网内,仅仅让有权限的用户通过VPN隧道进行访问。如果需要搭建一个安的VPN隧道,通常会选用[IPsec][1],因为IPsec VPN隧道被多重安全层所保护。
|
||||
有时,使用VPN隧道仅仅是因为它很安全。服务提供商与公司会使用这样一种方式架设网络,他们将重要的服务器(如,数据库,VoIP,银行服务器)放置到一个子网内,仅仅让有权限的用户通过VPN隧道进行访问。如果需要搭建一个安全的VPN隧道,通常会选用[IPsec][1],因为IPsec VPN隧道被多重安全层所保护。
|
||||
|
||||
这篇指导文章将会告诉你如何构建站点到站点的 VPN隧道。
|
||||
|
||||
@ -58,17 +58,18 @@
|
||||
最后,我们为NAT创建防火墙规则。
|
||||
|
||||
# iptables -t nat -A POSTROUTING -s site-A-private-subnet -d site-B-private-subnet -j SNAT --to site-A-Public-IP
|
||||
确保防火墙规则的健壮性。
|
||||
|
||||
请确保上述防火墙规则是持久有效的(LCTT 译注:你可以save这些规则或加到启动脚本中)。
|
||||
|
||||
#### 注意: ####
|
||||
|
||||
- 你可以使用MASQUERAD替代SNAT(iptables).理论上说它也能正常工作,但是有可能会与VPS发生冲突,所以我任然建议使用SNAT.
|
||||
- 你可以使用MASQUERAD替代SNAT(iptables)。理论上说它也能正常工作,但是有可能会与VPS发生冲突,所以我仍然建议使用SNAT。
|
||||
- 如果你同时在管理B点,那么在B点也设置同样的规则。
|
||||
- 直连路由则不需要SNAT。
|
||||
|
||||
### 准配置文件 ###
|
||||
### 准备配置文件 ###
|
||||
|
||||
我们将要用配置的第一个文件是ipsec.conf。不论你将要配置哪一台服务器,总是将你这端的服务器看成是左边的,而将远端的看作是右边的。以下配置是在站点A的VPN服务器做的。
|
||||
我们将要用来配置的第一个文件是ipsec.conf。不论你将要配置哪一台服务器,总是将你这端的服务器看成是左边的,而将远端的看作是右边的。以下配置是在站点A的VPN服务器做的。
|
||||
|
||||
# vim /etc/ipsec.conf
|
||||
|
||||
@ -130,7 +131,7 @@
|
||||
right=<siteB-public-IP>
|
||||
rightsubnet=<siteB-private-subnet>/netmask
|
||||
|
||||
有许多方式实现身份验证。这里使用预共享密钥,并将它添加到文件 file /etc/ipsec.secrets。
|
||||
有许多方式实现身份验证。这里使用预共享密钥,并将它添加到文件 /etc/ipsec.secrets。
|
||||
|
||||
# vim /etc/ipsec.secrets
|
||||
|
||||
@ -148,10 +149,10 @@
|
||||
|
||||
如果所有服务器没有问题的话,那么可以打通隧道了。注意以下内容后,你可以使用ping命令来测试隧道。
|
||||
|
||||
1.A点不可达B点的子网,当隧道没有启动时ping无效。
|
||||
1.隧道启动后,在A点直接ping B点的子网IP。是可以ping通的。
|
||||
1. A点不可达B点的子网,当隧道没有启动时ping不通。
|
||||
1. 隧道启动后,在A点直接ping B点的子网IP,是可以ping通的。
|
||||
|
||||
并且,到达目的子网的路由也会出现在服务器的路由表中。(译者:子网指的是site-B,服务器指的是site-A)
|
||||
并且,到达目的子网的路由也会出现在服务器的路由表中。(LCTT译注:这里“子网”指的是site-B,“服务器”指的是site-A)
|
||||
|
||||
# ip route
|
||||
|
||||
@ -192,21 +193,23 @@
|
||||
|
||||
如果你确信所有配置都是正确的,但是你的隧道任然无法启动,那么你需要检查以下的事件。
|
||||
|
||||
1.很多ISP会过滤IPsec端口。确认你的网络ISP允许使用UDP 500, TCP/UDP 4500端口。你可以试着在远端通过talnet连接服务器的IPsec端口。
|
||||
1. 很多ISP会过滤IPsec端口。确认你的网络ISP允许使用UDP 500, TCP/UDP 4500端口。你可以试着在远端通过telnet连接服务器的IPsec端口。
|
||||
1. 确认所用的端口在服务器防火墙规则中是允许的。
|
||||
1. 确认两端服务器的预共享密钥是一致的。
|
||||
1. 左边和右边的参数应该正确配置在两端的服务器上
|
||||
1. 如果你遇到的是NAT问题,试着使用SNAT替换MASQUERADING。
|
||||
|
||||
总结,这篇指导重点在于使用Openswa搭建站点到站点IPsec VPN的流程。管理员可以使用VPN使得一些重要的资源仅能通过隧道来获取,这对于加强安全性很有效果。同时VPN确保数据不被监听以及截。
|
||||
总结,这篇指导重点在于使用Openswan搭建站点到站点IPsec VPN的流程。管理员可以使用VPN使得一些重要的资源仅能通过隧道来获取,这对于加强安全性很有效果。同时VPN确保数据不被监听以及劫持。
|
||||
|
||||
希望对你有帮助。让我知道你的意。
|
||||
|
||||
---
|
||||
|
||||
via: http://xmodulo.com/2014/08/create-site-to-site-ipsec-vpn-tunnel-openswan-linux.html
|
||||
|
||||
作者:[Sarmed Rahman][a]
|
||||
译者:[SPccman](https://github.com/SPccman)
|
||||
校对:[校对者ID](https://github.com/校对者ID)
|
||||
校对:[wxy](https://github.com/wxy)
|
||||
|
||||
本文由 [LCTT](https://github.com/LCTT/TranslateProject) 原创翻译,[Linux中国](http://linux.cn/) 荣誉推出
|
||||
|
Loading…
Reference in New Issue
Block a user