Бруй В.В., Карлов С.В. - Linux-сервер - пошаговые инструкции - инсталляции и настройки (1077321), страница 83
Текст из файла (страница 83)
В файлах/var/log/messages должны быть строки примерно следующего содержания:Mar 10 17:24:39 moscow kernel: klips_info:ipsec_init: KLIPS startup,FreeS/WAN IPSec version: 1.99Мар 10 17:24:39 moscow ipsec: ipsec_setup: Starting FreeS/WAN IPsec1.99...Мар 10 17:24:39 moscow ipsec_setup: Starting FreeS/WAN IPsec 1.99...Mar 10 17:24:40 moscow ipsec_setup: KLIPS debug `none'Mar 10 17:24:40 moscow ipsec_setup: KLIPS ipsec0 on eth0212.45.28.123/255.255.255.255 broadcast 0.0.0.0Mar 10 17:24:41 moscow ipsec_setup: ...FreeS/WAN IPsec startedМар 10 17:24:41 moscow rc: Starting ipsec: succeededВ файлах /var/log/secure должны быть строки примерно следующего содержания:Mar 10 17:24:40 moscow ipsec__plutorun: Starting Pluto subsystem...Mar 10 17:24:41 moscow pluto[13069]: Starting Pluto (FreeS/WAN Version1.99)Mar 10 17:24:41 moscow pluto[13069]: added connection description "Moscow_ Yubileyny"Mar 10 17:24:41 moscow pluto[13069]: listening for IKE messagesMar 10 17:24:42 moscow pluto[13069]: adding interface ipsec0/eth0212.45.28.123Mar 10 17:24:42 moscow pluto[13069]: loading secrets from"/etc/ipsec.secrets"Mar 10 17:24:42 moscow pluto[13069]: "Moscow-Yubileyny" #l: initiatingMain ModeMar 10 17:24:42 moscow pluto[13069]: "Moscow-Yubileyny" #l: ISAKMP SA establishedMar 10 17:24:45 moscow pluto[13069]: "Moscow-Yubileyny" #2: initiatingQuickMode_POLICY_RSASIG+POLICY_ENCRYPT+POLICY_AUTHENTICATE+POLICY_TUNNEL+POLICY_PFSMar 10 17:24:46 moscow pluto[13069]: "Moscow-Yubileyny" #2: sent Q12, IPSec SAMar 10 17:24:49 moscow pluto[13069]: "Moscow-Yubileyny" #3: respondingto Main ModeMar 10 17:24:49 moscow pluto[13069]: "Moscow-Yubileyny" " #3: sent MR3,ISAKMP SAMar 10 17:24:50 moscow pluto[13069]: "Moscow-Yubileyny" #4: responding toQuick Mode establishedMar 10 17:24:50 moscow pluto[13069]: "Moscow-Yubileyny"#4: IPSEC SA establishedНа обоих шлюзах в каталоге /proc/net/ должны содержаться следующие псевдофайлы:[root@yubileyny /]# ls –l /proc/net/ipsec_*-r--r--r-1 rootroot 0 Мар 10 18:03 /proc/net/ipsec_eroute-r--r--r-1 rootroot 0 Мар 10 18:03 /proc/net/ipsec_klipsdebug-r--r--r-1 rootroot 0 Мар 10 18:03 /proc/net/ipsec_spi362Часть 6.
Программное обеспечение для организации шлюза-r--r--r--r--r--r--r--r--r--1 root1 root1 rootroot 0 Мар 10 18:03 /proc/net/ipsec_spigrproot 0 Мар 10 18:03 /proc/net/ipsec_tncfgroot 0 Мар 10 18:03 /proc/net/ipsec_versionИнтерфейсы IPSec должны быть описаны ранее физических интерфейсов:[root@yubileyny /]# cat /proc/net/ipsec_tncfgipsec0 -> eth0 mtu=16260 -> 1500ipsec1 -> NULL mtu=0 -> 0ipsec2 -> NULL mtu=0 -> 0ipsec3 -> NULL mtu=0 -> 0Шаг 3Тестирование работоспособности созданного туннеля и виртуальной частной сети может быть осуществлено путем проверки связи между системами, находящимися в разных локальных сетях. В нашем случае, система drwalbr.und (192.168.1.105) находилась в локальной сети офиса в г.
Юбилейном, а системаkarlnext.und (192.168.1.35) – в локальной сети офиса в г. Москве. Для проверки связи наберите:[karlnext@karlnext /]$ ping –c 3 192.168.1.105PING 192.168.1.105 (192.168.1.105) from 192.168.1.35: 56(84) bytes ofdata.64 bytes from 192.168.1.105 (192.168.1.105): icmp_seq=1 ttl=249 time=4.17ms64 bytes from 192.168.1.105 (192.168.1.105): icmp_seq=2 ttl=249 time=4.73ms64 bytes from 192.168.1.105 (192.168.1.105): icmp_seq=3 ttl=249 time=4.56ms--- 192.168.1.105 ping statistics --3 packets transmitted, 3 received, 0% loss, time 2021msrtt min/avg/max/mdev = 4.170/4.490/4.731/0.235 msи:[drwalbr@drwalbr /]$ ping –c 3 karlnext.undPING karlnext.und (192.168.1.35) from 192.168.1.105: 56(84) bytes ofdata.64 bytes from karlnext.und (192.168.1.105): icmp_seq=1 ttl=249 time=4.17ms64 bytes from karlnext.und (192.168.1.105): icmp_seq=2 ttl=249 time=4.73ms64 bytes from karlnext.und (192.168.1.105): icmp_seq=3 ttl=249 time=4.56ms--- karlnext.und ping statistics --3 packets transmitted, 3 received, 0% loss, time 2021msrtt min/avg/max/mdev = 4.170/4.490/4.731/0.235 msШаг 4Протестируйте предназначенные для работы в локальной сети приложения, обращающиеся к системам, расположенным в локальной сети другого офиса.Выше рассмотрен тривиальный вариант использования и настройки FreeS/WAN.
Более сложные случаи рассмотрены в файлах документации, содержащихся в каталоге /doc исходных кодов FreeS/WAN истраницах документации.Подключение к MS WINDOWS NT VPN-серверу c помощью PPTP-клиентаPPTP-клиент реализует PPTP (Point-to-Point Tunneling Protocol) протокол, предназначенный для подключения систем с Linux, FreeBSD и NetBSD к виртуальным частным сетям через MS Windows NT VPNсервер.
PPTP позволяет шифровать передаваемую информацию с ключом длиной 128 бит. Кроме того, этотпротокол, не смотря на известные проблемы с безопасностью, используется некоторыми провайдерами дляреализации доступа в Интернет через локальные сети общего пользования, и в некоторых случаях являетсяединственной возможностью подключения Linux-системы к Интернет. В такой ситуации оказались жителиг. Юбилейного Московской области. В этом городе ЗАО «Инфолайн» имеет сеть и шлюз в Интернет, реализованный на базе Windows NT VPN-сервера.
С их помощью и предоставляются услуги доступа в Интернет.Глава 26. Виртуальные частные сети, VPN363Укрупненная схема сопряжения компьютеров клиентов ЗАО «Инфолайн» с Интернет представлена нарис. 26.2.ЗАМЕЧАНИЕ К сожалению, информация представленная на рис.
26.2 получена не от ЗАО «Инфолайн» (авторы являются клиентами компании, но в течение двух лет не получили ни одного ответа из службыподдержки на свои вопросы), а путем анализа сообщений стандартных утилит, используемых для тестирования работоспособности сетей. Схема не претендует на полноту и полную достоверность и может содержатьошибки из-за неверного использования утилит, неверной интерпретации выводов результатов их работы идр. причин.
Тем не менее, полученные авторами данные позволили настроить доступ в Интернет с Linuxсистем. Вопросы, касающиеся некоторых особенностей использования адресного пространства в локальнойсети ЗАО «Инфолайн» просьба адресовать службе сервисной поддержки, а не авторам этой книги.Учитывая, что подключение Linux-системы к MS Windows NT VPN-серверу c помощью PPTPклиента представляет интерес, в основном, для начинающих пользователей, ниже описывается процедураустановки необходимого программного обеспечения из rpm-пакетов с некоторыми подробностями, которыемогут показаться излишними для опытных пользователей.Ограничения и допущенияrpm-пакеты находятся в каталоге /usr/src.Все операции выполняются пользователем с учетной записью root.Используется дистрибутив ASPLinux 7.3 (Vostok).Используется ядро версии 2.4.18-5asp, или 2.4.18 или 2.4.19, собранные из исходных кодов в соответствии с рекомендациями главы 6.
Работоспособность приведенных ниже рекомендаций протестирована дляядер версии 2.4.18 или 2.4.19, собранных из исходных кодов, модифицированных соответствующим патчемGrsecurity.Для ядра версии 2.4.18-5asp, входящего в комплект поставки ASPLinux 7.3 (Vostok) перекомпиляцияне требуется.По данным, полученным клиентами ЗАО «Инфолайн», процедура, описанная в этой главе, применимабез внесения изменений к Red Hat Linux 7.3, а с незначительными изменениями – и для последних версийLinux Slackware и AltLinux.ПакетыПоследующие рекомендации основаны на информации, полученной с домашней страницы проектаPPTP Client по состоянию на 01.02.2003. Регулярно посещайте домашнюю страницу проектаhttp://pptpclient.sourceforge.net и отслеживайте обновления.
Для организации подключениясистемы c ASPLinux 7.3 к MS Windows NT VPN-серверу необходимы пакет ppp-mppe-2.4.04.i386.rpm, реализующий протокол MPPE (Microsoft Point-To-Point Encryption) и pptp-linux-1.1.01.i386.rpm, содержащий клиент PPTP.Инсталляция MPPE и PPTP-клиентаШаг 1Проверьте параметры настройки ядра. Если вы используете ядро версии 2.4.18-5asp, поставляемое всоставе ASPLinux 7.3, то можете пропустить этот шаг.
В противном случае проверьте, что в вашей конфигурации ядра установлены следующие опции:IP: tunneling (CONFIG_NET_IPIP) [N/y/?] <y>IP: GRE tunnels over IP (CONFIG_NET_IPGRE) [N/y/?] <y>Dummy net driver support (CONFIG_DUMMY) [Y/n/?] <y>PPP (point-to-point protocol) support (CONFIG_PPP) [N/y/?] <y>Если опции не были установлены, то перекомпилируйте и проинсталлируйте новое ядро.Шаг 2Скачайте ppp-mppe-2.4.0-4.i386.rpm, pptp-linux-1.1.0-1.i386.rpm в каталог/var/tmp, осуществите проверку подлинности и целостности пакетов с использованием процедур, описанных в шаге 1 радела «Компиляция, оптимизация и инсталляция OpenSSL» главы 12.364Часть 6. Программное обеспечение для организации шлюзаИнтернетРоутерВторичный DNS-серверКонцентраторVPN-сервер(Windows 2000 Server)DHCP-серверIP 212.111.80.3eth0 IP 212.111.80.1eth1 IP 192.168.2.1Первичный DNS-серверIP 212.111.78.3Сетьг.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
