【试验名称】

 OpenSwan的配置
【试验目标】
通过OpenSwan搭建Ipsec ×××服务器。是不同站点之间通过Ipsec协议实现数据的安全传输。
【试验拓扑】
              
【试验步骤】
第一步:试验环境的搭建。
(1)             left LINUX进行基本配置,其中包括:配置网卡地址,修改主机名,设置SELINUX的安全级别为disabled,开启路由功能并且关闭默认的包过滤功能,在防火墙中设置源地址伪装,并且保存防火墙配置,添加默认网关。
配置eth0 IP地址。
Netconfig –d eth1
vi /etc/sysconfig/network
Vi /etc/hosts
 
Vi /etc/sysconfig/selinux
Vi /etc/syctl.conf
使用sysctl –p命令使以上设置立即生效。
Iptables –t nat –A POSTROUTING –s 192.167.3.0/24 –o eth1 –j MASQURADE
Route add default gw 10.10.10.100
(2)     right LINUX的基本配置内容与以上配置内容基本一致。其中不同的有:网卡参数。主机名,iptables的设置
eth0网卡参数配置
Eth1 网卡参数的配置
主机名的修改
Iptables –t nat –A POSTROUTING –s 192.167.13.0/24 –o eth0 –j MASQUERADE
Route add default gw 10.10.10.10
(3)left 客户端IP地址与right客户端IP地址的设置。
(3)     测试网络连通性。
ping的同时可以使用linux自带的dump工具进行抓包分析。
第二步:安装OpenSwan服务软件包。并且进行相应配置。
(1)     left服务器上挂载光盘,并且释放OpenSwan服务软件包。
tar zxvf /media/openswan-2.6.14.tar.gz –C /usr/local/src
进入释放的目录,直接使用make命令进行编译安装。Make programs install
编译完成之后直接重启。
使用命令 ipsec - -version命令检测OpenSwan是否正确安装。
left服务器上生成自己的私钥并且保存到 /etc/ipsec.secrets文件中。
Ipsec newhostkey –output /etc/ipsec.secrets
在生成left服务器上生成公钥,并且保存到left文件中。
Ipsec showhostkey –left > left
(2)     right服务器上做以上相同的配置并且生成自己的私钥与公钥。
使用SSH 中的scp命令将right服务器上的公钥拷贝到left服务器上。
(3)     left服务器上编辑IPSEC配置文件。
使用mv 命令将right服务器上的公钥文件移动到当前目录下。
编辑ipsec配置文件。
编辑完成之后,直接使用scp命令将此配置文件拷贝到right server中的/etc目录下,系统会自动覆盖right server 原有的配置文件。
Scp /etc/ipsec.conf root@10.10.10.100:/etc
拷贝完成之后,在right server 上查看此配置文件的内容是否和left server上的内容完全相同。
(4)     配置完成之后,重启ipsec服务。
(5)     使用 ipsec verify验证OpenSwan是否正常运行。
出现以上问题之后必须将此文件/etc/sys/net/ipv4/config/*/send_redirects中的值修改为0
Echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
Echo 0 > /proc/sys/net/ipv4/conf/default/send_redirects
Echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects
Echo 0 > /proc/sys/net/ipv4/conf/eth1/send_redirects
Echo 0 > /proc/sys/net/ipv4/conf/lo/send_redirects
Echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
Echo 0 > /proc/sys/net/ipv4/conf/default/accept_redirects
Echo 0 > /proc/sys/net/ipv4/conf/eth0/accept_redirects
Echo 0 > /proc/sys/net/ipv4/conf/eth1/accept_redirects
Echo 0 > /proc/sys/net/ipv4/conf/lo/accept_redirects
第三步:以上配置完成之后,进行ipsec××× 的测试。
在服务器上使用tcpdump工具可以抓到数据包而且可以看到s是已经过ESP加密的了。
【实验总结】
1.    以上实验中,在设置IPSEC ×××连接方式时,可以使用命令 ipsec auto –up net-to-net
2.    OpenSWan支持2.0、2.2、2.4以及2.6内核,可以运行在不同的系统平台下,包括X86、X86_64、IA64、MIPS以及ARM。OpenSWan是开源项目FreeS/WAN停止开发后的后继分支项目,由三个主要组件构成:配置工具(ipsec命令脚本);Key管理工具(pluto);内核组件(KLIPS/26sec)
3.        26sec使用2.6内核内建模块Netkey,用来替代OpenSWan开发的KLIPS模块,2.4及以下版本内核无Netkey模块支持,只能使用KLIPS。如果你用的是2.6.9以上的内核,推荐使用26sec,可以不用给内核打Nat-T补丁就可以使用NAT,2.6.9以下版本内核的NETKEY存在Bug,推荐使用KLIPS。
4.    OpenSWan有两种连接方式:
1) Network-To-Network方式:Network-To-Network方式是把两个网络连接成一个虚拟专用网络。当连接建立后,每个子网的主机都可透明地访问远程子网的主机。要实现此种连接方式,要满足以下两个条件:每个子网各自拥有一台安装有OpenSWan的主机作为其子网的出口网关;每个子网的IP段不能有叠加.
2) Road Warrior方式:当使用Network-To-Network方式时,作为每个子网网关的主机不能像子网内部主机那样透明访问远程子网的主机,也就是说:如果你是一个使用Laptop的移动用户,经常出差或是在不同的地点办公,你的Laptop将不能用Network-To-Network方式与公司网络进行连接。Road Warrior方式正是为这种情况而设计的,连接建立后,你的Laptop就可以连接到远程的网络了。
5. Openswan支持许多不同的认证方式,包括RSA keys、pre-shared keys、XAUTH、x.509证书方式.
N9T34 祝龙博 2010年8月29