Назад | Перейти на главную страницу

Подключение debian и windows через IPsec VPN с помощью Racoon и ipsec-tools

У меня проблемы с настройкой IPsec на моем сервере debian (сжатие 6). Этот сервер должен подключаться через IPsec VPN к серверу Windows, который защищен брандмауэром. Я использовал racoon и ipsec-tools и этот учебник http://wiki.debian.org/IPsec.

Однако я не совсем уверен, подходит ли это руководство для моих целей из-за некоторых отличий:

Я прошел через руководство шаг за шагом, но мне не удалось маршрутизировать ip. Следующая команда у меня не сработала:

ip route добавить в 172.16.128.100/32 через XXX.XXX.XXX.XXX src XXX.XXX.XXX.XXX

Поэтому вместо этого я попробовал следующее:

ip route добавить в 172.16.128.100 .., что явно не решило проблему.

Следующая проблема - компрессия. Окна не используют сжатие, но «алгоритм_сжатия нет»; не работает с моим енотом. Таким образом, текущее значение - «алгоритм_сжатия deflate;»

Итак, мой текущий результат выглядит так:

Когда я пытаюсь выполнить команду ping для хоста Windows (ping 172.16.128.100), я получаю следующее сообщение об ошибке:

ping: sendmsg: Операция запрещена

И енотовидные бревна:

racoon: ОШИБКА: не удалось получить эспинофо.

После некоторого времени в Google я не пришел к выводу, какое решение. Означает ли это сообщение об ошибке, что первая фаза IPsec работает?

Благодарю за любой совет.

Думаю, мои конфиги могут быть полезны.

Мой racoon.conf выглядит так:

путь pre_shared_key "/etc/racoon/psk.txt";

удаленный YYY.YYY.YYY.YYY {

    exchange_mode main;
    proposal {
            lifetime time 8 hour;
            encryption_algorithm 3des;
            hash_algorithm sha1;
            authentication_method pre_shared_key;
            dh_group 2;
    }

}

sainfo адрес XXX.XXX.XXX.XXX/32 любой адрес 172.16.128.100/32 любой {

    pfs_group 2;
    lifetime time 8 hour;
    encryption_algorithm aes 256;
    authentication_algorithm hmac_sha1;
    compression_algorithm deflate;

}

А мой ipsec-tools.conf выглядит так:

промывать;

spdflush;

spdadd XXX.XXX.XXX.XXX/32 172.16.128.100/32 любой -P out ipsec esp / tunnel / XXX.XXX.XXX.XXX-YYY.YYY.YYY.YYY / require;

spdadd 172.16.128.100/32 XXX.XXX.XXX.XXX/32 любой -P в ipsec esp / tunnel / YYY.YYY.YYY.YYY-XXX.XXX.XXX.XXX / require;

Если у кого-то есть совет, это было бы здорово.

Заранее спасибо.

Привет, Майкл


Это была простая ошибка копирования и вставки в IP-адресе.

Разве OpenVPN не был бы более подходящим? OpenVPN очень просто настроить. Вот образец конфигурации и несколько ссылок, которые помогут вам в процессе создания сертификата.

Просто настройте посредника в качестве хоста, и гости смогут подключиться и по-прежнему общаться друг с другом.

apt-get install openvpn
mkdir /etc/openvpn/easy-rsa
mkdir -p /etc/openvpn/ccd/client_server
touch /etc/openvpn/ipp.txt
cp /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa
cd /etc/openvpn/easy-rsa
source ./vars
./clean-all
./build-ca 
./build-key-server server
./build-dh
cd /etc/openvpn/easy-rsa/keys
openssl pkcs12 -export -out server.p12 -inkey server.key -in server.crt -certfile ca.crt

Затем создайте новый файл /etc/openvpn/client_server.conf и введите в него следующее, изменив SERVER_IP_ADDRESS по мере необходимости

local SERVER_IP_ADDRESS
port 8443
proto udp
dev tun
ca /etc/openvpn/easy-rsa/keys/ca.crt
pkcs12 /etc/openvpn/easy-rsa/keys/server.p12
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
ifconfig-pool-persist /etc/openvpn/ipp.txt
server 192.168.100.0 255.255.255.0
client-config-dir /etc/openvpn/ccd/client_server
ccd-exclusive
keepalive 10 120
comp-lzo
persist-key
persist-tun
status /var/log/openvpn-status.log
verb 3
reneg-sec 0
client-to-client

Затем создайте ключ для каждого пользователя, который будет подключаться, и создайте файл конфигурации в каталоге ccd.

./build-key-pkcs12 user1@domain.com
echo "ifconfig-push 192.168.100.2 255.255.255.0" > /etc/openvpn/ccd/client_server/user1@domain.com

IP-адрес ДОЛЖЕН подходить для подсети / 30 (см. http://www.subnet-calculator.com/cidr.php), поскольку для каждого соединения доступно только 2 адреса (сервер и клиент). Итак, ваш следующий доступный IP-адрес клиента будет 192.168.100.6 и так далее.

Теперь у вас есть статические IP-адреса для каждого подключающегося пользователя.

Тогда поставьте the user1@domain.com.p12 файл конечному пользователю и используйте следующий файл конфигурации

client
dev tun
proto udp
remote SERVER_IP_ADDRESS 8443
pkcs12 user1@domain.com.p12
resolv-retry infinite
nobind
ns-cert-type server
comp-lzo
verb 3
reneg-sec 0