У меня маршрутизатор Cisco Linksys настроен как шлюз VPN (от сети к сети):
Теперь я хочу настроить ipsec VPN аналогично на Centos 6 с помощью openswan. Я искал в Интернете, но мне не повезло (есть несколько руководств, но они не похожи на мою ситуацию или устарели для ipsec-tools и centos 4). Чтение man peges для openswan вызывает у меня только головную боль (). На удаленном сайте есть какое-то устройство контрольной точки (все, что я знаю о конфигурации, - это снимок экрана с панели Linksys с уже настроенным туннелем vpn).
Я не хакер Google, но знаю, как им пользоваться, и, возможно, есть какой-нибудь учебник, который мне поможет, но я не нашел его сам.
Я уже установил openswan, но если есть лучшее программное обеспечение и решение (на Centos), я не против его использовать.
EDIT1: После прочтения MadHatter answare я начал комбинировать с разными конфигурациями ... и я потерялся ... Я думаю, что дал небольшой объем информации.
Итак, сначала скриншот от Linksys Manager VPN gatwey до шлюзового сайта:
В разделе «Настройка локальной группы»: Ip в серых полях (IP-адрес d.168.1.67) - это IP-адрес, который, как мне кажется, Linksys получает от контрольной точки на другой стороне, изменить этот параметр невозможно. Далее идет IP-адрес (e.199.1.0 / 24) в белых полях, это моя локальная сеть.
В разделе «Настройка удаленной группы»: IP-адрес a.b.c.4 - это общедоступный IP-адрес контрольной точки на дальней стороне.
В третьем разделе находятся параметры туннельного подключения ipsec.
Это второй экран, я не уверен, что он имеет значение, но я все равно его вставляю:
WAN1 ip - это то, что мне дает одна Checkpoint. LAN - это простой адрес Linksys в локальной сети.
С этими экранами и программным обеспечением Mad я пишу эту конфигурацию ipsec в /etc/ipsec.conf:
# /etc/ipsec.conf - Openswan IPsec configuration file # # Manual: ipsec.conf.5 # # Please place your own config files in /etc/ipsec.d/ ending in .conf # #version 2.0 # conforms to second version of ipsec.conf specification # basic configuration config setup # Debug-logging controls: "none" for (almost) none, "all" for lots. # klipsdebug=none # plutodebug="control parsing" # # For Red Hat Enterprise Linux and Fedora, leave protostack=netkey # protostack=netkey # nat_traversal=yes # virtual_private= oe=off # Enable this if you see "failed to find any available worker" # nhelpers=0 #version 2.0 conn linksys-1 # Left endpoint, subnet behind it, next hop toward right keyingtries=0 left=a.b.c.4 #leftsubnet=a.b.c.4/32 (should I put here d.168.1.67/32 ???) leftnexthop=%defaultroute # Right endpoint, subnet behind it, next hop toward left right=d.168.1.67 rightsubnet=e.199.1.0/24 type=tunnel authby=secret #auth=esp keylife=59m ikelifetime=59m #esp=3des-md5-96 pfs=no #compress=no #keyexchange=ike auto=start #You may put your configuration (.conf) file in the "/etc/ipsec.d/" and uncomment this. include /etc/ipsec.d/*.conf
И секретный файл /etc/ipsec.secret
d.168.1.67 a.b.c.4: PSK "secretPSK"
Я полностью не понимаю эту конфигурацию, несмотря на усилия MadHatter.
EDIT2: журналы из / var / log / messages после запуска ipsec:
Jul 5 10:58:52 router-progr ipsec_starter[27724]: could not open include filename: '/etc/ipsec.d/*.conf' (tried and ) Jul 5 10:58:52 router-progr ipsec_starter[27725]: could not open include filename: '/etc/ipsec.d/*.conf' (tried and ) Jul 5 10:58:52 router-progr ipsec_setup: Starting Openswan IPsec 2.6.32... Jul 5 10:58:52 router-progr ipsec_setup: Using KLIPS/legacy stack Jul 5 10:58:52 router-progr kernel: padlock: VIA PadLock not detected. Jul 5 10:58:52 router-progr kernel: padlock: VIA PadLock Hash Engine not detected. Jul 5 10:58:52 router-progr kernel: Intel AES-NI instructions are not detected. Jul 5 10:58:52 router-progr kernel: padlock: VIA PadLock not detected. Jul 5 10:58:52 router-progr ipsec_setup: No KLIPS support found while requested, desperately falling back to netkey Jul 5 10:58:52 router-progr kernel: NET: Registered protocol family 15 Jul 5 10:58:52 router-progr ipsec_setup: NETKEY support found. Use protostack=netkey in /etc/ipsec.conf to avoid attempts to use KLIPS. Attempting to continue with NETKEY Jul 5 10:58:52 router-progr ipsec_setup: Using NETKEY(XFRM) stack Jul 5 10:58:52 router-progr kernel: padlock: VIA PadLock not detected. Jul 5 10:58:52 router-progr kernel: padlock: VIA PadLock Hash Engine not detected. Jul 5 10:58:52 router-progr kernel: Intel AES-NI instructions are not detected. Jul 5 10:58:52 router-progr kernel: padlock: VIA PadLock not detected. Jul 5 10:58:52 router-progr ipsec_setup: could not open include filename: '/etc/ipsec.d/*.conf' (tried and ) Jul 5 10:58:52 router-progr ipsec_starter[27810]: could not open include filename: '/etc/ipsec.d/*.conf' (tried and ) Jul 5 10:58:52 router-progr ipsec_setup: /usr/libexec/ipsec/addconn Non-fips mode set in /proc/sys/crypto/fips_enabled Jul 5 10:58:53 router-progr ipsec_setup: ...Openswan IPsec started Jul 5 10:58:53 router-progr ipsec__plutorun: adjusting ipsec.d to /etc/ipsec.d Jul 5 10:58:53 router-progr pluto: adjusting ipsec.d to /etc/ipsec.d Jul 5 10:58:53 router-progr ipsec__plutorun: could not open include filename: '/etc/ipsec.d/*.conf' (tried and ) Jul 5 10:58:53 router-progr ipsec_starter[27821]: could not open include filename: '/etc/ipsec.d/*.conf' (tried and ) Jul 5 10:58:53 router-progr ipsec__plutorun: /usr/libexec/ipsec/addconn Non-fips mode set in /proc/sys/crypto/fips_enabled Jul 5 10:58:53 router-progr ipsec__plutorun: could not open include filename: '/etc/ipsec.d/*.conf' (tried and ) Jul 5 10:58:53 router-progr ipsec_starter[27822]: could not open include filename: '/etc/ipsec.d/*.conf' (tried and ) Jul 5 10:58:53 router-progr ipsec__plutorun: /usr/libexec/ipsec/addconn Non-fips mode set in /proc/sys/crypto/fips_enabled Jul 5 10:58:53 router-progr ipsec__plutorun: could not open include filename: '/etc/ipsec.d/*.conf' (tried and ) Jul 5 10:58:53 router-progr ipsec_starter[27826]: could not open include filename: '/etc/ipsec.d/*.conf' (tried and ) Jul 5 10:58:53 router-progr ipsec__plutorun: /usr/libexec/ipsec/addconn Non-fips mode set in /proc/sys/crypto/fips_enabled Jul 5 10:58:53 router-progr ipsec__plutorun: 023 address family inconsistency in this connection=2 host=2/nexthop=0 Jul 5 10:58:53 router-progr ipsec__plutorun: 037 attempt to load incomplete connection Jul 5 10:58:53 router-progr ipsec__plutorun: 003 no secrets filename matched "/etc/ipsec.d/*.secrets" Jul 5 10:58:53 router-progr ipsec__plutorun: 021 no connection named "linksys-1" Jul 5 10:58:53 router-progr ipsec__plutorun: 000 initiating all conns with alias='linksys-1' Jul 5 10:58:53 router-progr ipsec__plutorun: 021 no connection named "linksys-1"
Чтобы сделать это с OpenS / WAN, вам нужно что-то вроде этого в /etc/ipsec.conf
:
conn linksys-1
# Left endpoint, subnet behind it, next hop toward right
keyingtries=0
left=a.b.c.4
leftsubnet=a.b.c.4/32
leftnexthop=%defaultroute
# Right endpoint, subnet behind it, next hop toward left
right=d.168.1.67
rightsubnet=e.199.1.0/24
type=tunnel
authby=secret
#auth=esp
keylife=59m
ikelifetime=59m
#esp=3des-md5-96
pfs=no
#compress=no
#keyexchange=ike
auto=start
и что-то вроде этого в /etc/ipsec.secrets
:
a.b.c.4 d.168.1.67: PSK "secret-goes-here"
Предполагается, что внешний IP-адрес Linksys d.168.1.67
, что стоящая за ним сеть e.199.1.0/24
, что общедоступный IP-адрес системы C6 a.b.c.4
, и что он хочет, чтобы его только направили в туннель.
Не забудьте не совершить элементарную ошибку, протестировав туннель, выполнив эхо-запрос linkys из системы C6. Сам линксис не включен в туннель; только трафик к хостам внутри e.199.1.0/24
сеть будет правильно зашифрована и туннелирована.
Это не должно быть полным руководством, но, надеюсь, оно даст вам точку для начала, которая немного дальше, чем пустой холст.
редактировать: зачем ты показывал конфиг линксис, если хочешь подключить ящик С6 к чекпоинту? Вы хотите заменить линксис с коробкой C6? Если да, то то, что я написал, все еще применимо, просто замените IP-адреса соответственно; по сути, left
это ваш IP-адрес, leftsubnet
это сеть на вашем конце (вероятно, снова то же самое, с /32
прилагается), right
адрес дальнего конца, и rightsubnet
маршрутизируемый (часто частный) сетевой блок на дальнем конце. Два адреса, left
и right
, должен появиться в ipsec.secrets
файл.
Если вы не заменяете linksys, а дополнительно настраиваете поле C6, вам также необходимо перенастроить поле контрольной точки, и это выходит за рамки этого ответа.