LinuxIPSec操作手册_第1页
LinuxIPSec操作手册_第2页
LinuxIPSec操作手册_第3页
LinuxIPSec操作手册_第4页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、Linux IPSec操作手册IPSec操作手册第一部分:OpenSSL生成证书首先需要一个根证书,然后用这个根证书来下发“子证书”。1,找一台Linux PC,首先切换目录,到/etc/pki/1ls/misc> openssl的脚本在这 里。2,生成根证书:./CA -newca输入pass phrase,后面签发的时候会用到,类似一个密码CA证书的路径在 /etc/pki/CA/cacert. pem3,生成server私有密钥:openssl genrsa -out server.key 20484,生成服务器证书请求:openssl req -new -key server,

2、key -out server.csr5,把server, crt文件改名成newreq. pem,然后用CA来签证就可以/ mv server, csr newreq pem . /CA 0Csign6, 把 newcert. pem 改名成 server, pem mv newcert. pem server, pem 这就是 server 的证书。7,重复3-6步,生成client的证书和私钥。8,将 server, key 和 server. pem 和 cacert. pem 复制到 FC1080,其中 server. key 和 server, pem import 至lj Loc

3、al Certificates 中,cacert. pem import 至Trusted CA 中 (只需导入证书部分,描述部分不用导入)在 Linux PC 上,新建/var/cert 目录,将 client. pem, client, key, cacert. pem 复制到/var/cert/目录下。9,在Linux PC的/var/cert/目录下执行下列命令:In -s cacert. pem $(openssl x509 "noout -hash -in cacert. pem). 0这个命令是生成一个hash link,如果没有此hash link,后面将无法建立IP

4、Sec通至此两台主机的证书分发工作己经完成。下面开始配置setkey和racoon的工作。第二部分:配置 racoon, conf 和 setkey. conf.PCI 的 setkey. conf flush; spdflush; spdadd 172. 16.12.164/32172. 16.12. 169/32 any esp/transport/172. 16. 12. 164172. 16. 12. 169/require; spdadd 172. 16. 12. 169/32 172.16. 12.164/32 any esp/transport/172.16.12.169- 17

5、2. 16. 12. 164/require;PCI 的 racoon, confpath pre_shared_key path certificate remote 172.16.12.169 exchange_mode main; lifetime time 3600 sec; proposal_check obey; verify_cert on;my_identifier asnldn; peers_identifier asnldn;certificate_type x509 proposal encryption_algorithm 3des; hash_algorithm md

6、5;authentication_method rsasig; dh_group modpl024; sainfo address 172. 16.12.164/32 any address 172. 16.12. 169/32 any lifetime time 3600 sec; encryption_algorithm 3des;authentication_aIgorithm hmac_md5; compression_algorithm deflate; PC2 的 setkey. conf flush; spdflush;_p _pout inipsec ipsecspdadd 1

7、72.16.12.169/32 172.16.12.164/32 any P out ipsec esp/transport/172. 16.12. 169172. 16. 12.164/require; spdadd 172. 16. 12. 164/32 172.16.12. 169/32 any P in ipsec esp/transport/172.16.12.164一 172.16.12. 169/require;PC2 的 racoon, confpath pre_shared_key path certificate remote 172.16.12.169 exchange_

8、mode main; lifetime time 3600 sec; proposal_check obey; verify_cert on;my_identifier asnldn; peers_identifier asnldn;certificate_type x509 proposal encryption-algorithm 3des; hash_algorithm md5;authentication_method rsasig; dh_group modpl024; sainfo address 172. 16.12.164/32 any address 172.16.12. 1

9、69/32 any lifetime time 3600 sec; encryption_algorithm 3des;authentication_a1gorithm hmac_md5; compression_algorithm deflate; 第三部分:防火墙规则,这里指的是tunnel方式需要的防火墙规则(上面两部分是 点对点方式的配置),其中 tunnel 的 local subnet 为 192. 168. 1. 0/24, remote subnet 为 192. 168. 2. 0/24 iptables 0CI INPUT -p esp -j ACCEPT #接受 ESP

10、包iptables CI INPUT -p udp dport 500 -j ACCEPT #接受 racoon 的 listening port 进包 iptables 0CI INPUT -p udp dport 4500 -j ACCEPT #接受 racoon 的 listening port 进包iptables -t nat -I POSTROUTING -s 192. 168. 1.0/24 -d 192.168.2.0/24 -j ACCEPT #进入tunnel的数据不进行NAT转换iptables 0CI FORWARD -s 192. 168. 2. 0/24 -d 192. 168. 1. 0/24 -j ACCEPT tttunnel中的回包需要ACCEPTFAQ1. 17 (modp6144), or 18 (modp8192)会失败的原因 Timing is EverythingISAKNfP errors like %up waiting for phaselto time upcould be caused by long cipher initialization time

人人文库> 全部分类> 行业资料 > 管理策划

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论