OpenSWqn安装配置指南.doc

OpenSWan安装配置指南 来源: ChinaUnix博客 　日期： 2007.10.14 09:27　(共有条评论) 我要评论 一、OpenSWan简介 OpenSWan是Linux下IPsec的最佳实现方式，其功能强大，最大程度地保证了数据传输中的安全性、完整性问题。 OpenSWan支持2.0、2.2、2.4以及2.6内核，可以运行在不同的系统平台下，包括X86、X86_64、IA64、MIPS以及ARM。 OpenSWan是开源项目 FreeS/WAN 停止开发后的后继分支项目，由三个主要组件构成： 配置工具（ipsec命令脚本） Key管理工具（pluto） 内核组件（KLIPS/26sec） 26sec使用2.6内核内建模块Netkey，用来替代OpenSWan开发的KLIPS模块，2.4及以下版本内核无Netkey模块支持，只能使用KLIPS。如果你用的是2.6.9以上的内核，推荐使用26sec，可以不用给内核打Nat-T补丁就可以使用NAT，2.6.9以下版本内核的NETKEY存在Bug，推荐使用KLIPS。 更多详情请参见OpenSWan项目主页： 二、系统环境 本文使用VMWare建立五台虚拟Linux主机来进行试验。 操作系统： CentOS 4.4 内核版本：2.6.9-42 主机网络参数设置： 如无特殊说明，子网掩码均为 主机名 网卡eth0 网卡eth1 默认网关 用途 LServer 03 Left网关 RServer 04 Right网关 LClient 13 Left客户机 RClient 14 Right客户机 Laptop 05 Laptop客户机 三、安装设置操作系统 推荐使用CentOS 4.4，基于RedHat Enterprise AS 4.4安全加强的免费可升级独立分发版本Linux操作系统，安装过程不再详述。需要注意的是，安装时请确保选中开发软件包，以及libgmp软件包（gmp、gmp-devel）、gawk、flex、bison。 以下步骤只需在LServer、RServer及Laptop上执行。 系统按前述参数安装完毕后在LServer、RServer执行以下命令： sysctl -a | egrep ipv4.*(accept|send)_redirects | awk -F = {print $1= 0} /etc/sysctl.conf 编辑/etc/sysctl.conf vi /etc/sysctl.conf 将下面两项： net.ipv4.ip_forward = 0 net.ipv4.conf.default.rp_filter = 1 改为： net.ipv4.ip_forward = 1 net.ipv4.conf.default.rp_filter = 0 执行以下命令使设置生效： sysctl -p 在LServer上执行以下命令设置NAT： iptables -t nat -A POSTROUTING -o eth0 -s /24 -d ! /24 -j MASQUERADE 在RServer上执行以下命令设置NAT: iptables -t nat -A POSTROUTING -o eth0 -s /24 -d ! /24 -j MASQUERADE 四、安装OpenSWan 1. 下载源码包 cd ~ wget /download/openswan-2.4.7.tar.gz 2. 解压源码包 tar zxvf openswan-2.4.7.tar.gz 3. 安装UserLand cd openswan-2.4.7 make programs make install 4. 安装KLIPS IPstack （可选，如果用26sec则不需安装） 1)安装NAT-Traversal内核补丁 export KERNELSRC=/usr/src/kernels/2.6.9-42.EL-i686 make nattpatch /usr/src/openswan-ipsec-natt.patch cd $KERNELSRC cat /usr/src/openswan-ipsec-natt.patch | patch -p1 -s make clean make oldconfig 当执行make oldconfig命令时，由于添加了Nat-t补丁，会出现以下提示： IPSEC NAT-