公司在北京,但是主要设备都在南京电信的一个主要IDC里,那边有我们的两个PIX525UR(做了故障切换),上面做了严格的访问控制,因此,为了方便公司里的移动,出差及在家的员工办公,才有了做VPN系统的想法.好使具有相应权限的使用者从个人PC通过支持MPPE128的加密隧道连接至公司的VPNServer,再通过VPNServer将数据转发到南京IDC的我公司应用网络,其间的连接也是基于IPSEC的安全VPN隧道.由此可以保证我公司的所有应用需求的安全性和便捷性.。
1.硬件资源:服务器一台
PIX525UR防火墙一台
2.软件资源:Mandrake9.2
kernelmod
pptpd
Super-freeswan
iptables
公网ip地址
注:我在测试了几种LINUX(包括Redhat,SuSE,Mandrake,Astaro)后,感觉Mandrake是最简单,最稳妥的平台。
下面就是安装过程:
1.操作系统安装:
安装过程无特殊要求,在选择安装组件的时候除开发工具外其它一概不选,主要是出于安全性考虑.
2.安装kernelmod:
tarzxvfkernelmod-0.7.1.tar.gz
cd/kernelmod
./kernelmod.sh
3.安装pptpd:
①升级ppp
rpm–Uvhppp-2.4.2-0.1b3.i386.rpm
②安装pptpd
rpm–ivhpptpd-1.1.4-1b4.fr.i386.rpm
4.安装Super-freeswan:
rpm–ivhsuper-freeswan-1.99.8-8.2.100mdk.i586.rpm
5.升级iptables:
rpm–Uvhiptables-1.2.8-12.i386.rpm
呵...至此,全部的安装过程就完成了,简单吧,
注:以上软件都可以在rpmfind.net找到!
下面是最主要的配置过程:
1.操作系统的配置:
①升级openssh
②关闭不需要的服务(sendmailisdn…)
③编辑/etc/sysctl.conf
net.ipv4.ip_forward=0=>1
net.ipv4.conf.default.rp_filter=1=>0
2.Pix配置文件(VPN部分):
access-listinside_outbound_nat0_aclpermitip"南京IP段"255.255.255.0"公司VPN用户的IP段"255.255.255.0
access-listoutside_cryptomap_20permitip"南京IP段"255.255.255.0"公司VPN用户的IP段"255.255.255.0
nat(inside)0access-listinside_outbound_nat0_acl
sysoptconnectionpermit-ipsec
cryptoipsectransform-setESP-3DES-MD5esp-3desesp-md5-hmac
cryptomapoutside_map20ipsec-isakmp
cryptomapoutside_map20matchaddressoutside_cryptomap_20
cryptomapoutside_map20setpeer"VPN服务器的IP"
cryptomapoutside_map20settransform-setESP-3DES-MD5
cryptomapoutside_mapinterfaceoutside
isakmpenableoutside
isakmpkey"密码"address"VPN服务器的IP"netmask255.255.255.255no-xauthno-config-mode
isakmpidentityaddress
isakmppolicy20authenticationpre-share
isakmppolicy20encryption3des
isakmppolicy20hashmd5
isakmppolicy20group2
isakmppolicy20lifetime28800
