一、OpenSWan簡介

???? OpenSWan是Linux下IPsec的最佳實現方式，其功能強大，最大程度地保證了數據傳輸中的安全性、完整性問題。
???? OpenSWan支持2.0、2.2、2.4以及2.6內核，可以運行在不同的系統平臺下，包括X86、X86_64、IA64、MIPS以及ARM。
???? OpenSWan是開源項目FreeS/WAN停止開發后的后繼分支項目，由三個主要組件構成：
?????? 配置工具（ipsec命令腳本）
?????? Key管理工具（pluto）
?????? 內核組件（KLIPS/26sec）

???? 26sec使用2.6內核內建模塊Netkey，用來替代OpenSWan開發的KLIPS模塊，2.4及以下版本內核無Netkey模塊支持，只能使用KLIPS。如果你用的是2.6.9以上的內核，推薦使用26sec，可以不用給內核打Nat-T補丁就可以使用NAT，2.6.9以下版本內核的NETKEY存在Bug，推薦使用KLIPS。
???? 更多詳情請參見OpenSWan項目主頁：http://www.openswan.org

二、系統環境

??? 操作系統(server)：CentOS 4.5
??? 內核版本：2.6.9-55
??? 客戶端(windows XP)
??? 主機網絡參數設置： 如無特殊說明，子網掩碼均為255.255.255.0
??? 主機名?????? 網卡eth0?? 網卡eth1???? 默認網關????? 用途
??? LServer???? 192.168.1.10 172.16.1.1?? 192.168.1.1 Left網關
??? RServer???? 192.168.1.20 172.16.2.1?? 192.168.1.1 Right網關
??? LClient???? 172.16.1.2??????????????? 172.16.1.1?? Left客戶機
??? RClient???? 172.16.2.2??????????????? 172.16.2.1?? Right客戶機
三、安裝設置操作系統

系統采用最小安裝：只安裝開發工具
以下步驟只需在LServer、RServer上執行。
分別在LServer、RServer執行以下命令：
sysctl -a | egrep "ipv4.*(accept|send)_redirects" | awk -F "=" '{print $1"= 0"}' >> /etc/sysctl.conf??? 編輯/etc/sysctl.conf
vi /etc/sysctl.conf??? 將下面兩項：??
net.ipv4.ip_forward = 0
net.ipv4.conf.default.rp_filter = 1??? 改為：??
net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 0??? 執行以下命令使設置生效：
sysctl -p???
在LServer上執行以下命令設置NAT：
iptables -t nat -A POSTROUTING -o eth0 -s 172.16.1.0/24 -d !172.16.2.0/24 -j MASQUERADE???
在RServer上執行以下命令設置NAT:
iptables -t nat -A POSTROUTING -o eth0 -s 172.16.2.0/24 -d !172.16.1.0/24 -j MASQUERADE

四、安裝OpenSWan

??? 1. 下載源碼包
cd
wget http://www.openswan.org/download/openswan-2.4.7.tar.gz
??? 2. 解壓源碼包
tar zxvf openswan-2.4.7.tar.gz???
??? 3. 安裝UserLand
cd openswan-2.4.7
make programs
make install???
??? 4. 安裝KLIPS
cd ~/openswan-2.4.7
make KERNELSRC=/lib/modules/`uname -r`/build module minstall
depmod -a???????? 加載KLIPS模塊前必須先卸載NETKEY模塊
rmmod xfrmuser af_key esp4 ah4 ipcomp xfrm4_tunnel???????? 執行以下命令加載KLIPS
modprobe ipsec
??? 5. 驗證安裝
執行下面的命令驗證OpenSWan是否正確安裝
ipsec --version?????? 如果程序正確安裝，此命令將顯示以下結果：??????
如果已加載的IPsec stack是KLIPS，顯示如下
Linux Openswan 2.4.7 (klips)
See `ipsec --copyright' for copyright information.??????
如果沒有加載任何IPsec stack，顯示如下
Linux Openswan U2.4.7/K(no kernel code presently loaded)
See `ipsec --copyright' for copyright information.
??
五、配置OpenSWan

1. OpenSWan主要配置文件
/etc/ipsec.secrets????????????????? 用來保存private RSA keys 和 preshared secrets (PSKs)
/etc/ipsec.conf???????????????????? 配置文件(settings, options, defaults, connections)
2. OpenSWan主要配置目錄
/etc/ipsec.d/cacerts??????????????? 存放X.509認證證書（根證書－"root certificates"）
/etc/ipsec.d/certs????????????????? 存放X.509客戶端證書（X.509 client Certificates）
/etc/ipsec.d/private??????????????? 存放X.509認證私鑰（X.509 Certificate private keys）
/etc/ipsec.d/crls?????????????????? 存放X.509證書撤消列表（X.509 Certificate Revocation Lists）
/etc/ipsec.d/ocspcerts????????????? 存放X.500 OCSP證書（Online Certificate Status Protocol certificates）
/etc/ipsec.d/passwd???????????????? XAUTH密碼文件（XAUTH password file）
/etc/ipsec.d/policies?????????????? 存放Opportunistic Encryption策略組（The Opportunistic Encryption policy groups）
3. OpenSWan連接方式
?????? OpenSWan有兩種連接方式：
?????? 1) Network-To-Network方式
????????? 顧名思義，Network-To-Network方式是把兩個網絡連接成一個虛擬專用網絡。當連接建立后，每個子網的主機都可透明地訪問遠程子網的主機。
????????? 要實現此種連接方式，要滿足以下兩個條件：
????????? I. 每個子網各自擁有一臺安裝有OpenSWan的主機作為其子網的出口網關;
????????? II.每個子網的IP段不能有疊加
?????? 2) Road Warrior方式
????????? 當使用Network-To-Network方式時，作為每個子網網關的主機不能像子網內部主機那樣透明訪問遠程子網的主機，也就是說：
????????? 如果你是一個使用Laptop的移動用戶，經常出差或是在不同的地點辦公，你的Laptop將不能用Network-To-Network方式與公司網絡進行連接。
????????? Road Warrior方式正是為這種情況而設計的，連接建立后，你的Laptop就可以連接到遠程的網絡了。
??? 4. OpenSWan的認證方式
?????? Openswan支持許多不同的認證方式，包括RSA keys、pre-shared keys、XAUTH、x.509證書方式
??? 5. 使用RSA數字簽名（RSASIG）認證方式配制OpenSWan
?????? 1) 在LServer、RServer上生成新的hostkey
ipsec newhostkey --output /etc/ipsec.secrets
?????? 繼續以下2-4步驟配置LServer－RServer之間的Network-To-Network方式鏈接：
?????? 2) 在LServer上執行下面的命令獲得leftrsasigkey（即LServer的公鑰Pulic Key）
ipsec showhostkey --left????????? 此命令的輸出格式如下所示：
# RSA 2192 bits??? LServer.FoxBB.Com??? Sat Mar?? 3 15:45:00 2007
leftrsasigkey=0sAQOBIJFmj......
?????? 3) 在RServer上執行下面的命令獲得rightrsasigkey（即RServer的公鑰 Pulic Key）
ipsec showhostkey --right????????? 此命令的輸出格式如下所示：
# RSA 2192 bits??? RServer.FoxBB.Com??? Sat Mar?? 3 15:51:56 2007
rightrsasigkey=0sAQNZZZjj......
?????? 4) 在LServer及RServer上編輯/etc/ipsec.conf
vi /etc/ipsec.conf????????? 在最后添加如下內容（leftrsasigkey及rightrsasigkey行換成前面2,3步所取得的值）
conn net-to-net
???? left=192.168.1.10????????????? # LServer外網IP地址
???? leftsubnet=172.16.1.0/24?????? # LServer內網IP段
????
???? leftid=@LServer.uddtm.com?????? # LServer的標識
???? leftrsasigkey=0sAQOBIJFmj...??? # LServer的公鑰
???? leftnexthop=%defaultroute?????? # LServer的下一跳指定為默認路由地址
???? right=192.168.1.20???????????? # RServer外網IP地址
???? rightsubnet=172.16.2.0/24????? # RServer內網IP段
????
???? rightid=@RServer.uddtm.com????? # RServer的標識
???? rightrsasigkey=0sAQNZZZjj...??? # Rserver的公鑰
???? rightnexthop=%defaultroute????? # RServer的下一跳指定為默認路由地址
???? auto=add??????????????????????? # 添加這個鏈接，但是在OpenSWan啟動時不自動連接

????? 5)在LServer、RServer上執行下面的命令啟動OpenSWan
service ipsec start
????? 6)在LServer及RServer上執行下面的命令驗證OpenSWan是否正常運行
ipsec verify???????? 如果OpenSWan正常運行，將會得到類似下面的輸出
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path?????????????????????????????? [OK]
Linux Openswan U2.4.7/K2.6.9-55.EL (netkey)
Checking for IPsec support in kernel????????????????????????? [OK]
NETKEY detected, testing for disabled ICMP send_redirects???? [OK]
NETKEY detected, testing for disabled ICMP accept_redirects?? [OK]
Checking for RSA private key (/etc/ipsec.secrets)???????????? [OK]
Checking that pluto is running??????????????????????????????? [OK]
Two or more interfaces found, checking IP forwarding????????? [OK]
Checking NAT and MASQUERADEing??????????????????????????????
Checking for 'ip' command???????????????????????????????????? [OK]
Checking for 'iptables' command?????????????????????????????? [OK]
Opportunistic Encryption Support????????????????????????????? [DISABLED]
????? 7)在LServer或RServer上執行下面的命令進行LServer-RServer之間的Network-To-Network連接
ipsec auto --up net-to-net???????? 將會得到類似下面的輸出（如果最后的輸出行中出現IPsec SA established，說明連接成功 ）
104 "net-to-net" #1: STATE_MAIN_I1: initiate
003 "net-to-net" #1: received Vendor ID payload [Openswan (this version) 2.4.7
PLUTO_SENDS_VENDORID PLUTO_USES_KEYRR]
003 "net-to-net" #1: received Vendor ID payload [Dead Peer Detection]
003 "net-to-net" #1: received Vendor ID payload [RFC 3947] method set to=110
106 "net-to-net" #1: STATE_MAIN_I2: sent MI2, expecting MR2
003 "net-to-net" #1: NAT-Traversal: Result using RFC 3947 (NAT-Traversal):
no NAT detected
108 "net-to-net" #1: STATE_MAIN_I3: sent MI3, expecting MR3
004 "net-to-net" #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_RSA_SIG
cipher=oakley_3des_cbc_192 prf=oakley_md5 group=modp1536}
117 "net-to-net" #2: STATE_QUICK_I1: initiate
004 "net-to-net" #2: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0xa329d030
?????
????? 8)測試IPSEC鏈接
在LClient上執行 ping 172.16.2.2???????
或在RClient上執行 ping 172.16.1.2????????
在ping命令執行期間，在LServer或RServer上執行 tcpdump -i eth0 -n host 192.168.1.10 and 192.168.1.20???????
如果LClient和RClient可以互相ping通，tcpdump有類似下面的輸出，說明Network-To-Network方式IPSEC已經成功連接
12:34:32.478903 IP 192.168.1.10 > 192.168.1.20: ESP(spi=0xf225b168,seq=0x7f)
12:34:32.480050 IP 192.168.1.20 > 192.168.1.10: ESP(spi=0x845109ca,seq=0x7f)
12:34:33.450660 IP 192.168.1.10 > 192.168.1.20: ESP(spi=0xf225b168,seq=0x80)
12:34:33.450938 IP 192.168.1.20 > 192.168.1.10: ESP(spi=0x845109ca,seq=0x80)
12:34:34.449218 IP 192.168.1.10 > 192.168.1.20: ESP(spi=0xf225b168,seq=0x81)
12:34:34.451034 IP 192.168.1.20 > 192.168.1.10: ESP(spi=0x845109ca,seq=0x81)


???? 9)設置自動連接
測試通過后，可以把連接配置中
auto=add????? 更改為：
auto=start???? 這樣當OpenSWan啟動時就可自動進行連接。 轉自：http://www.uddtm.com/os/linux/shiyongopenswangoujianlan-to-lan_×××_KLIPS_.php

轉載于:https://blog.51cto.com/wubijaijia/187329

總結

以上是生活随笔為你收集整理的使用openswan构建lan-to-lan ×××(KLIPS)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。