實驗名稱:構建基於Linux平臺的開源***服務器
實驗目標:一、基於Linux配置poptop ***與管理
二、基於Linux配置Openswan ***與管理
***的功能:加密數據
信息認證和身份認證
訪問控制
多協議支持
實驗一:配置poptop *** 服務器
開源PPTP服務器產品Poptop特性
微軟兼容的認證和加密(MSCHAPv2,MPPE40-128位RC4加密) 。
支持多個客戶端連接 。
使用RADIUS插件無縫集成到一個微軟網絡環境中 。
和Windows 95/98/Me/NT/2000/XP PPTP客戶端共同工作 。
和Linux PPTP客戶端共同工作 。
Poptop在GNU通用公共許可下是,並仍將是完全免費。
實驗拓撲如下:
根據拓撲搭建好實驗環境
在這裏不做演示
Poptop *** 軟件包有四個分別如下
n dkms-2.0.5-1.noarch.rpm
n kernel_ppp_mppe-0.0.5-2dkms.noarch.rpm
n ppp-2.4.3-5.rhel4.i386.rpm
n pptpd-1.3.0-0.i386.rpm
下載網址
http://prdownloads.sourceforge.net/poptop
官方網站
http://www.poptop.org
Poptop ***服務器的配置步驟大概分爲下面幾步、
配置主配置文件
配置賬號文件
打開linux內核的路由功能
啓動和停止***服務
pptp-***客戶端設置:
通過“網上鄰居”來設置客戶端
測試,通過***訪問內部網絡
實驗具體步驟
實驗環境搭建好以後,就可以實驗了、
現在分別來安裝這四個軟件包
注意:下面這個軟件包ppp-2.4.3-5需要升級安裝
再來安裝最後一個軟件包
所有的包安裝完成、然後來修改配置文件
第一個要修改的配置文件是 /etc/pptpd.conf
#指定pptp使用的選項文件
option /etc/ppp/options.pptpd
#把所有的debug信息寫入系統日誌/var/log/messages
debug
#使用/var/log/wtmp記錄客戶連接和斷開。
logwtmp
#服務器***虛擬接口將分配的IP地址
localip 10.100.1.1
#客戶端***連接成功後將分配的IP。注意這裏一共指定了36個IP地址,如果又超過36個客戶進行連接時,超額的客戶將無法連接成功。
remoteip 10.100.0.200-210,10.100.0.230-254
注意:爲了安全性起見,localip和remoteip儘量不要同一個網段。
然後保存退出
修改第二個配置文件/etc/ppp/option.pptpd
這個大概不需要修改什麼、
第三個要修改的是 /etc/ppp/chap-secrets
保存退出
給***服務器開啓路由功能
然後再客戶機上創建一個***連接、然後登陸
可以訪問局域網內的web服務器
然後用yang登錄、這個用戶是指定ip 1.1.1.1
在web服務器上查看、1.1.1.1訪問了自己、也就是yang。這裏,有個問題劉翰老師說給用戶分的ip不在局域網內就不能訪問內網的服務器的、但是這裏可以訪問、還需要以後在證明。
Poptop ***就做到這裏、
實驗二:
基於Linux配置openswan ***
實驗拓撲
1. Network-To-Network方式
顧名思義,Network-To-Network方式是把兩個網絡連接成一個虛擬專用網絡。要實現此種連接方式,要滿足以下兩個條件:
I. 每個子網各自擁有一臺安裝有OpenSWan的主機作爲其子網的出口網關;
II.每個子網的.IP段不能有疊加
2. Road Warrior方式
當使用Network-To-Network方式時,作爲每個子網網關的主機不能像子網內部主機那樣透明訪問遠程子網的主機,Road Warrior方式正是爲這種情況而設計的,連接建立後,就可以連接到遠程的網絡了。
以下操作只需在left opensan 和right opensan上配置
開啓兩個opensan的路由功能
2.修改內核參數:vi /etc/sysctl.conf 將下面兩項:
net.ipv4.ip_forward = 0
net.ipv4.conf.default.rp_filter = 1
改爲:
net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 0
執行以下命令使設置生效:
sysctl -p
在兩邊的opensan上都做nat轉換
下來安裝opensan
釋放
驗證安裝
執行下面的命令驗證OpenSWan是否正確安裝
ipsec --version
如果程序正確安裝,此命令將顯示以下三種可能結果:
如果已加載的IPsec stack是NETKEY,顯示如下
Linux Openswan U2.4.7/K2.6.9-42.EL (netkey)
See `ipsec --copyright' for copyright information.
如果已加載的IPsec stack是KLIPS,顯示如下
Linux Openswan 2.4.7 (klips)
See `ipsec --copyright' for copyright information.
如果沒有加載任何IPsec stack,顯示如下
Linux Openswan U2.4.7/K(no kernel code presently loaded)
See `ipsec --copyright' for copyright information.
我的機子出現沒有安裝,須重啓
重啓後變爲netkey 。模塊已加載
現在來配置opensan
1. OpenSWan主要配置文件
/etc/ipsec.secrets 用來保存private RSA keys 和 preshared secrets (PSKs)
/etc/ipsec.conf 配置文件(settings, options, defaults, connections)
2. OpenSWan主要配置目錄
/etc/ipsec.d/cacerts 存放X.509認證證書(根證書-"root certificates")
/etc/ipsec.d/certs 存放X.509客戶端證書(X.509 client Certificates)
/etc/ipsec.d/private 存放X.509認證私鑰(X.509 Certificate private keys)
/etc/ipsec.d/crls 存放X.509證書撤消列表(X.509 Certificate Revocation Lists)
/etc/ipsec.d/ocspcerts 存放X.500 OCSP證書(Online Certificate Status Protocol certificates)
/etc/ipsec.d/passwd XAUTH密碼文件(XAUTH password file)
/etc/ipsec.d/policies 存放Opportunistic Encryption策略組(The Opportunistic Encryption policy groups)
給left opensan添加一條路由
在reght opensan也要添加路由如下圖
生成key
重定向到left
查看left公鑰
以上的配置也要在right opensan上也做一遍、個別處有所不同、然後把right opensan上的公鑰傳送到left opensan上
傳送到了left opensan 的/root下了
然後回到left opensan上
修改ipsec主配置文件
隨後看下面的right部分
最後一步,別忘了去掉註釋
說明運行正常
這裏需說明下,當left opensan 給 rightopensan傳送公鑰的時候把left opensan的ipsec.conf裏面的所有東西要傳送過去
scp /etc/ipsec.conf [email protected]:/etc/
傳過去後不用改ipsec.conf
這裏只是在left opensan 上做演示、但是我也同時在right opensan 做配置
現在實驗已接近尾聲、現在我們測試在right opensan下的pc ping left opensan下的pc然後再網關上抓包看是否是加密的
在left opensan上抓包、是以明文的方式傳送的
我們現在啓用opensan、
在left opensan上
先重啓ipsec
在left opensan 和 right opensan 上手動執行連接
ipsec auto –up net-to-net
如果最後的輸出行中出現 IPsec SA established,說明連接成功
得到這個實驗效果可是苦了我、和朋友研究很長時間,經過排查最後才發現時沒有修改主機名導致兩臺機子通信不加密、因爲兩臺opensan的主機名一樣、公鑰的生存一部分是通過主機名生成的、,最後把主機名改了之後再重新生成了一個公鑰、才成功的、
現在看實驗效果
在left opensan上查看是否加密
是加密的、
但是right opensan ping left opensan 的時候就不加密了、
這裏我就想不通、應該網關之間通信也加密纔對 、
經過再次測試、***網關之間通信不加密、left opensan 的子網和eight opensan的子網通信才加密、、