1.25 然后检查网卡和硬盘选项是否正确,如果没有问题就逐层退出,然后保存配置 。
1.26 退出后将自动编译内核,等待……
1.27 编译完成后,来到/usr/src/linux目录,运行:make modules;make modules_install
1.28 cp System..map /boot/System.map-2.4.18-vpn
1.29 cd arch/i386/boot
1.30 cp bzImage /boot/vmlinuz-2.4.18-vpn
1.31 cd /boot
1.32 rm System.map
1.33 ln –s System.map-2.4.18-vpn System.map
【五 Linux简明系统维护手册】1.34 vi /etc/lilo.conf
增加一段:
boot=/dev/sdamap=/boot/mapinstall=/boot/boot.bprompttimeout=50lba32default=linux-vpnimage=/boot/vmlinuzlabel=linuxinitrd=/boot/initrdread-onlyroot=/dev/sda5image=/boot/vmlinuz-2.4.18-vpnlabel=linux-vpninitrd=/boot/initrdread-onlyroot=/dev/sda5
1.35 运行lilo更新数据
1.36 reboot
1.37 启动后,运行:ipsec setup restart 应该不报任何错误而正常出现freeswan的版本 。
注意:还有一些必要的内核参数配置,这些配置可以在rc.local中实现 。他们是:
echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filterecho 1 > /proc/sys/net/ipv4/ip_forward
如果你把下面两项编译成模块(前面扩号是M而不是*):
FTP protocol support (NEW)IRC protocol support (NEW)
你需要在rc.local中加上:
modprobe ip_nat_ftp
安装完了,接下来我们将说明几种VPN的玩法 。
2、配置Frees/wan用于支持双网关通信 。也就是两个异地的子网通过一对ipsec的VPN网关进行交互访问 。第一种玩法是网络对网络的VPN 。一般的,某企业在甲乙两地(距离相当远)各有一个办公室,每个办公室各有一套LAN,他们分别通过专线连接到internet网络上 。甲LAN上是企业的管理中心,运行着企业的管理系统 。而乙LAN上的用户也需要使用该管理系统,尽管乙LAN可以通过internet(公网)连接过去,但是企业的老板说不行!我们的数据不能暴露在公网上,必须加密!好了,我们的VPN网络就可以应用于该企业的这种需求 。首先在甲乙两个LAN的出口各放置一台我们的Linux服务器,他们都安装好了ipsec(前面说的安装步骤一个都不少),两个LAN的数据分别通过各自的这台机器(ipsec gateway)进入公网,凡是经过该网关的数据全部都是加密的 。在效果上,两个LAN的用户可以互相ping到对方的机器,尽管他们可能一个是192.168.1.0/24网段,另一个是192.168.10.0/24网段的 。他们好像在同一个局域网中工作,没有界限 。公共网络的加密部分对他们来说也是透明的 。而两个LAN在公共网络上交换的数据是密文的 。这就是虚拟专用网VPN 。
但愿你已经按照前面的步骤顺利的安装好了两台机器,下面我告诉你怎样配置成网对网的环境 。
2.1 我们先配置甲网的ipsec网关(该网关有两个网卡,我们配置他们的地址分别为eth1:192.168.1.231和eth0:21.9.22.22) 。安装完成后,我们首先要做的事情是生成CA证书 。(用到刚才安装的openssl)
2.2 找到openssl.cnf文件,一般在/etc/ssl/中,也可能在/var/ssl中或/usr/ssl中(实在不行你就find / -name “openssl.cnf”找找嘛!),要是有好几个,你要搞清楚哪个是你安装的版本 。改动其中的default_bits选项的值从1024到2048,然后改动default_days的值到3650 。让期限为10年!保存退出 。
2.3 在/var/中建立一个目录:/var/sslca,改变该目录的权限为700(chmod 700 /var/sslca)
2.4 在你安装的openssl目录中找到CA.sh脚本 。注意,应该是你当前运行的openssl版本的CA.sh
2.5 cd /var/sslca 进入到你刚才建立的目录
2.6 比如你刚才找到的CA.sh在/usr/lib/ssl/misc/,那么就输入/usr/lib/ssl/misc/CA.sh –newca,接下来你会被问到一系列问题 。问题和回答类似于下面的样子 。如果你确认哪些你有把握更改就改,比如公司名称、邮件、密码等 。不能确定的就按照下面的样子抄上即可 。
推荐阅读
- 一 Linux简明系统维护手册
- 二 Linux简明系统维护手册
- Linux环境下发现并阻止系统攻击
- linux内核的编译
- 三 Linux简明系统维护手册
- 四 Linux简明系统维护手册
- Linux远程启动
- 在Linux中制作VCD
- 寻找Linux下的网络邻居
- Linux 每次启动时钟日期就多了 8 小时