|
|
www.lissyara.su
—> статьи
—> FreeBSD
—> Security
—> DSL-G804V и FreeBSD 6.2
VPN-туннель между D-Link DSL-G804V и FreeBSD 6.2
Автор: freeman_tnu.
Предистория
В один "прекрасный" день появился у компании, где я работаю сисадмином, удаленный офис. Естественно встал вопрос о объединении двух офисов в одну локальную сеть посредством VPN-туннеля. За что я и взялся...
Что имеем
Главный офис - локальная сеть 192.168.100.0/24 на основе Win2003 Active Directory, выход в инет через шлюз FreeBSD 6.2 + почтовый сервер FreeBSD 6.2, находящийся в DMZ шлюза (реализовано через if_bridge не без помощи статьи http://www.lissyara.su/?id=1305)
IP шлюза 192.168.100.2 и внешний 62.134.22.121
Удаленный офис - локальная wi-fi сеть 192.168.1.0/24, выход в инет через беспроводной ADSL-маршрутизатор D-Link DSL-G804V (имеет возможность поднятия VPN трех видов: PPTP, IPSec, L2TP)
IP маршрутизатора 192.168.1.1 и внешний 81.84.224.15
Как реализуем
Решил строить VPN на основе IPSec и сразу же пошел читать соответствующую статью http://www.lissyara.su/?id=1328
На шлюзе, после пересборки ядра для поддержки IPSec и после установки ipsec-tools-0.6.7, полез править конфиг /etc/rc.conf
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
| Дальше правим /etc/ipsec.conf, если его нету нужно создать
flush;
spdflush;
spdadd 192.168.100.0/24 192.168.1.0/24 any -P out ipsec
esp/tunnel/62.134.22.121-81.84.224.15/require;
spdadd 192.168.1.0/24 192.168.100.0/24 any -P in ipsec
esp/tunnel/81.84.224.15-62.134.22.121/require;
| Настраиваем /usr/local/etc/racoon/racoon.conf
padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}
listen
{
isakmp 62.134.22.121 [500];
}
timer
{
# These value can be changed per remote node.
counter 5; # maximum trying count to send.
interval 10 sec; # maximum interval to resend.
persend 1; # the number of packets per send.
# maximum time to wait for completing each phase.
phase1 30 sec;
phase2 15 sec;
}
remote anonymous
{
exchange_mode main,aggressive;
doi ipsec_doi;
situation identity_only;
my_identifier user_fqdn "free_m@domain.com.ua";
peers_identifier user_fqdn "free_m@domain.com.ua";
nonce_size 16;
lifetime time 480 min; # sec,min,hour
initial_contact on;
support_proxy on;
proposal_check obey; # obey, strict, or claim
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
# Аунтификация только по ключу, т.к. у маршрутизатора
# DSL-G804V нет возможности использования сертификатов в IPSec VPN-сервере
authentication_method pre_shared_key;
dh_group 1;
}
}
sainfo anonymous
{
pfs_group 1;
lifetime time 60 min;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
| Настраиваем файл ключей /usr/local/etc/racoon/psk.txt
# cat /usr/local/etc/racoon/psk.txt
81.84.224.15 blabla_@1G
|
chmod 0600 /usr/local/etc/racoon/psk.txt
| В firewall добавляем следующие правила:
allow udp from 81.84.224.15 to me dst-port 500
allow esp from me to 81.84.224.15
allow esp from 81.84.224.15 to me
| На стороне FreeBSD шлюза все. Теперь переходим к настройке маршрутизатора.
Идем в закладку Advanced дальше в дереве слева выбираем VPN и в появившемся окне кликаем на IPSec, куда и вносим наши данные:
Также не забываем пойти по ссылке Advanced Options и добавить окончательные настройки тунеля:
Применяем все изменения Apply, чтобы активировать сразу же тунель необходимо выбрать параметр Enable after 'Apply' в позицию "Yes" и снова сохранить все настройки.
Чтобы маршрутизатор видел сеть за фрей добавляем роутинг - идем в закладку Advanced дальше в дереве слева выбираем Routing:
Ну вот и все. Чтобы все изменения вступили в силу делаем LogOut и сохраняем настройки.
На фре запускаем racoon
/usr/local/sbin/racoon -F -v -f /usr/local/etc/racoon/racoon.conf
| И также добавляем роутинг на сеть за маршрутизатором
route add 192.168.1.0/24 81.84.224.15
| И смотрим на маршрутизаторе состояние подключения
Как видим соединение установлено. Проверяем пинги и все остальное. Все работает. Каждая сеть видит друг-друга.
размещено: 2007-09-14,
последнее обновление: 2007-09-16,
автор: freeman_tnu
|
|
|
|
2014-07-27, lissyara
gmirror
Удалённое создание софтверного зеркала средствами gmirror, на диске разбитом с использованием gpart. Использование меток дисков для монтирования разделов.
2013-08-20, zentarim
Scan+Print server FreeBSD 9
Настройка сервера печати и сервера сканирования под управлением операционной системы FreebSD 9 для МФУ Canon PIXMA MP540
2011-11-20, BlackCat
Разъём на WiFi-карту
Делаем съёмной несъёмную антену на WiFi-карте путём установки ВЧ-разъёма
2011-09-14, manefesto
Настройка git+gitosis
Настройка системы контроля версия исходного кода в связке git+gitosis+ssh
2011-08-14, zentarim
Wi-FI роутер + DHCP + DNS
Настройка Wi-Fi роутера на Freebsd 8 + DNS сервер + DHCP сервер: чтобы Wi-Fi клиенты были в одной подсети с проводными, проводные и беспроводные клиенты получали адреса автоматически по DHCP, кэширующ
2011-06-15, -ZG-
Охранная система на FreeBSD+LPT
В этой статье описана попытка реализации простой охранной системы на базе FreeBSD с подключением к ней охранных устройтсв на LPT порт и видеорегистрацией.
2011-03-13, terminus
ng_nat
Описание работы ng_nat, практическое использование, достоинства и недостатки в сравнении с ipfw nat
2011-02-20, Капитан
Nagios+Digitemp
Статья описывает создание системы оповещения о превышении температуры в специальных помещениях на основе Nagios с использованием программы Digitemp.
2011-02-17, Le1
Zyxel Configuration
Скрипт для массового изменения конфига свичей Zyxel. Берет из файла iplist список ip-шек, заходит последовательно на каждый и выполняет комманды из файла commands, записывая происходящее в лог файл.
2011-02-16, fox
hast carp zfs ucarp cluster
HAST (Highly Available Storage), CARP, UCARP, ZFS, Cluster настройка и одаптация плюс личные размышления…
2011-02-04, BlackCat
Восстановление ZFS
История о том, как был восстановлен развалившийся RAIDZ ZFS-пул (перешедший в FAULTED) с помощью скотча и подручных средств. Или о том, какие приключения ожидают тех, кто не делает резервных копий.
2011-02-03, Капитан
1-Wire
Статья описывает самостоятельное изготовление контроллера DS9097 для съёма показаний с датчиков температуры DS1820 с помощью программы Digitemp.
2011-01-28, Капитан
Температура в серверной
Статья описывает построение системы наблюдения за температурой в помещении серверной с использованием программы Digitemp и выводом графиков в MRTG
2011-01-21, m4rkell
Syslog server
Как то буквально на днях, у нас завалилось, что то в еве) или не в еве не суть. Суть в том, что когда захотели снять логи с хостов esx обнаружили, что хранят эти негодяи логии только за последнии сутк
2011-01-07, lissyara
Canon/gphotofs
Монтирование цифровых фотоаппаратов Canon (PTP) как файловой системы, автоматизация этого процесса через события devd и внешние скрипты.
2010-12-13, Al
IPSec
Описание принципов работы IPSEC и способов аутентификации.
2010-12-07, manefesto
FreeBSD on flash
Было принято решении переехать на USB Flash и установить минимальный джентельменский набор для работы своего роутера. Делаем =)
2010-12-05, Fomalhaut
root ZFS, GPT
Инструкция по установке FreeBSD с использованием в качестве таблицы разделов GPT и в качестве основной файловой системы - ZFS
2010-09-05, Cancer
Настройка аудиоплеера на ximp3
Цели: Простенький аудиоплеер, для того что бы тетя продавец в магазине утром пришла нажала на кнопку Power и заиграла в зале музыка, так же был доступ по сети, общая шара куда можно заливать музыку, к
2010-08-31, Cancer
Установка и настройка OpenVPN
На днях появилась задача - объединить головной офис и 3 филиала в одну сеть через интернет посредством OpenVPN, чтобы люди могли подключаться через RDP к базам 1С на серверах.
2010-08-25, manefesto
freebsd lvm
Использование linux_lvm для работы с LVM разделами из-под FreeBSD. Проблемы которые возники при монтирование lvm раздела
2010-04-30, gonzo111
proftpd file auth"a
Proftpd - квоты и авторизация из файлов, без использования базы данных и/или системных пользователей
|
Статистика сайта
|
Сейчас на сайте находится: 15 чел.
|
За последние 30 мин было: 50 человек
|
За сегодня было 1074 показов, 179 уникальных IP
|
|
|
|
Этот информационный блок появился по той простой причине,
что многие считают нормальным, брать чужую информацию не уведомляя автора
(что не так страшно), и не оставляя линк на оригинал и автора — что более существенно.
Я не против распространения информации — только за. Только условие простое — извольте
подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой,
незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
Если соизволите поставить автора в известность — то вообще почёт вам и уважение.
© lissyara 2006-10-24 08:47 MSK
|
|
|
Комментарии пользователей [24 шт.]