首页 > > 操作系统 > Linux >

Linux简明系统维护手册(五)(3)

2008-02-23 07:17:39来源：互联网阅读 ()

　　在以上步骤中一定要记住你输入的密码。如果哪一不错了，想重新来过的话，记住删除/var/sslca目录下面的所有子目录即可。

　　2．8 把文件名字改为你需要的



　　~/sslca# mv newcert.pem vpnserver.rd.xxx.com.pem

　　~/sslca# mv newreq.pem vpnserver.rd.xxx.com.key

　　2．9 编辑.key文件，删除'-----BEGIN CERTIFICATE REQUEST-----'后面所有的东西，之后，这个文件应该从'-----BEGIN RSA PRIVATE KEY-----'至'-----END RSA PRIVATE KEY-----'结束。

　　2．10 如果正常的安装了x.509补丁，你应该可以看到/etc/ipsec.d及其下面的目录。如果没有，你就自己建立。然后按照下面的位置复制合适的文件：(此时你仍然在/var/sslca目录中)



　　# cp vpnserver.rd.xxx.com.key /etc/ipsec.d/private

　　# cp vpnserver.rd.xxx.com.pem /etc/ipsec.d

　　# openssl x509 -in demoCA/cacert.pem -outform der -out rootca.der

　　# cp rootca.der /etc/ipsec.d/cacerts/RootCA.der

　　# openssl x509 -in host.example.com.pem -outform der -out /etc/x509cert.der

　　# openssl ca -gencrl -out crl.pem

　　# cp crl.pem /etc/ipsec.d/crls

　　2．11在/etc/ipsec.secrets中加入一行：: RSA vpnserver.rd.xxx.com.key "password"，然后删除其他所有行。其中的password是你前面生成密要的时候回答问题输入的密码。

　　2．12编辑ipsec.conf文件类似下面的样子：



　　# basic configuration

　　config setup

	interfaces=辠aultroute

	klipsdebug=none

	plutodebug=none

	plutoload=%search

	plutostart=%search

	uniqueids=yes



　　conn 辠ault

	keyingtries=1

	compress=yes

	disablearrivalcheck=no

	authby=rsasig

	leftrsasigkey=蝦t

	rightrsasigkey=蝦t

	left=辠aultroute

	leftcert=vpnserver.rd.xxx.com.pem

	auto=add

	pfs=yes



　　conn roadwarrior

	right=%any



　　conn roadwarrior-net

	leftsubnet=192.168.1.0/255.255.255.0

	right=%any



　　conn net-net

	leftsubnet=192.168.1.0/255.255.255.0

	right=%any

	rightsubnet=192.168.10.0/255.255.255.0



　　conn world-net

	leftsubnet=*

	right=%any

	rightsubnet=192.168.10.0/255.255.255.0

　　黑体字的部分是你需要根据你实际的环境更改的。我们用的两端的子网是192.168.1.0/24和192.168.10.0/24。文件中vpnserver.rd.xxx.com.pem是CA证书。这个配置是通用的，也就是说可以适用LAN-LAN方式的俩接和远端客户端两种方式。

　　2．13 下面配置分支机构的网关。这个机器也要事先安装完全freeswan等软件。

　　重新执行上面的2.7-2.9步骤生成分支机构的证书，注意：在回答问题的过程中，关于主机名称的部分的输入改变为你分支机构的网关机器名称，比如：vpncliet.rd.xxx.com。

　　2．14 复制下列生成的文件到分支机构网关上的相应位置(比如通过软盘复制)：



　　cp vpnserver.rd.xxx.com.pem /etc/ipsec.d

　　cp vpnclient.rd.xxx.com.key /etc/ipsec.d/private

　　cp vpnclient.rd.xxx.com.pem /etc/ipsec.d

　　执行命令：openssl x509 –in vpnclient.rd.xxx.com.pem –

　　　　outform der –out /etc/x509cert.de

　　cp rootca.der /etc/ipsec.d/cacerts/RootCA.der

　　cp crl.pem /etc/ipsec.d/crls

　　2．15 配置分支机构的/etc/ipsec.secrets 写上一行：



 　 RSA vpnclient.rd.xxx.com.key "password"。

　　其他行删除。Password就是前面回答问题的时候输入的密码。

　　2．16 配置/etc/ipsec.conf



　　# basic configuration

　　config setup

	interfaces=辠aultroute

	klipsdebug=none

	plutodebug=none

	plutoload=%search

	plutostart=%search

	uniqueids=yes



　　conn 辠ault

	keyingtries=0

	compress=yes

	disablearrivalcheck=no

	authby=rsasig

	rightrsasigkey=蝦t

	leftrsasigkey=蝦t

	right=辠aultroute

	rightcert=vpnclient.rd.xxx.com.pem

	auto=add

	pfs=yes



　　conn roadwarrior

	left=21.9.22.22

	leftcert=vpnserver.rd.xxx.com.pem



　　conn roadwarrior-net

	left=21.9.22.22

	leftcert=vpnserver.rd.xxx.com.pem

	leftsubnet=192.168.1.0/255.255.255.0



　　conn net-net

	left=21.9.22.22

	leftcert=vpnserver.rd.xxx.com.pem

	leftsubnet=192.168.1.0/255.255.255.0

	rightsubnet=192.168.10.0/255.255.255.0

　　其中黑体的部分是你可以根据实际情况修改的。

　　2．17 首先启动server端的ipsec：ipsec setup restart，然后同样启动客户端的ipsec

　　2．18 建立通道：ipsec auto –up net-net然后在Server端可以用命令ipsec whack status应该可以看到新建立的几个通道。此时，你在两个子网中应该可以互相ping 通。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有