这几天看linux tunnel 技术,感觉lin.ux很好很强大。记录如下:( 所有测试系统 Ce.ntOS5.2 )健康
linux .支持的 t.unnel 有 ipip gre sit 其他非内核隧道这几种。.
ipip 需要.内核模块 ipip.ko 下面的描述说出了ip.ip的特点。.
简单之极!但是你不能通过IP-in-IP隧道转发广播.或者IPv6数据包。你只是连接了两个一般情况下无法直接通讯的IPv4网络而已。至于兼容性,这部分代码已经有很长一段历史了,它的兼容性可以上溯到1.3版的内核。据.我所知,Linux的I.P-in-IP隧道不能与其他操作系统或路由器互相通讯。它很简单,也很有效。需要它的时候尽管使用,否则就.使用GRE。 美容
GRE 需要内核模块 ip_.gre.ko 建材
GRE是最初由CISCO开发出来的.隧道协议,能够做一些IP-in-IP隧道做不到的.事情。比如,你可以使用GRE隧道传输多播数据包和IPv6数据包。 外汇
还有一个 sit 我也不知道这个该不该算在隧.道.里面,他的作用是连接 ipv4 与 ipv6 的网络,这里也我也把他当作隧道的一种吧。 乙肝
以上所有隧道都需要内核模块 tu.nnel4.k.o 的支持。.
在内核之外,还有很多实现隧道的方法,最闻名的.当然要数PPP和.PPTP,但实际上还有很多(有些是专有的,有些是安全的,有些甚至根本不用IP。 鲜花
很多人都把.隧道描写成一个专用的管子,我觉得这容易造成理解上的误区,当然你看.到的结果的确像在一个专用的管子里那样通讯,我更喜欢把隧道看成一个装.在大信封里面的一个小信封和一封信。因为不管理论如何,你的数据包还是要实实在在的,通过.现有的网络、路由,一步一步的传送过去,这个是不可能省略掉的。投资
说了这么多,现在就开始从最基本的 ipip 来手工.建立一个.隧道。.
环境:两台linux.服务器,分别在两地。并且两台机器都有实ip与互联网向链接,能够互相通讯。每台机器后面都有带.着一个LAN 。(广告)
图1
--------------------------------.-----INTERNET------.-----------.-------------------.
| 192.168.10.0.0/24 | 211.16.7.237.218 <------> 123.127.177.195 |192.1.68.200.0/24 | 婚庆
|-. - - - | . | . - - - -|虚拟主机
| eth0 | eth1. | | eth1 . | eth0 . |教育
---------------------------------------.-------------------.--------------------.--- 汽车
结构就是这个样子,现在我们就依.据上面的.结构来建立 tunnel 。.
在 .211.167.237.218 上创建:.
modprobe ipip
i.p tunn.el add tun1 mod.e ipip remote 123.127.177.195 local 211.167.237.218 ttl 64.
ip link set tun.1 mtu .1480 up域名
ip address add. 192.168.200.253 brd 255.255..255.255 peer 123..127.177.195 dev tun1 建材
ip route ad.d 192.168.200.0/24 via. 192.168.200.253( 游戏 )
在 123.127.177.195. 上创建:.
modprobe ipip
ip .tunnel add tun1. mode ipip remote 211.167.237..218 local 123.127.177.195 ttl 64.
ip link set tun1 .mtu 148.0 up.
ip address ad.d 192.168..100.253 brd 255.255.255.255 p.eer 211.167.237.218 dev tun1--- 印刷
ip route add 192.16.8.10.0.0/24 via 192.168.100.253.
上面的命令里出现了几个关.键字,需要我们注意的地方:.
1、mtu隧道会增加协议开销.,因为它需要一个额外的IP包头。一般应该是每个包增.加2.0个字节,所以如果一个网络的MTU是1500字节的话,使用隧道技术后,实际的IP包长度最长只能有1480字节了。.这倒不是什么原则性的问题,但如果你想使用隧道技术构建一个比较大规模的网络的话,最好仔细研究一下关于IP包的分片和汇聚的知识。
2、ttl 数据包的生存期。设置为64是安全的。如果你的网络规模巨大就提高这个.值。不要因为好玩而这么做,.那样会产生有害的路由环路。实际上,在很多情况.下你要考虑能否减小这个值。服务器
3、ip 要写对端的内.网ip,因为这可以减少vpn服务器不是默认网关的麻烦。对方看到的数据包实际是你本地绑定.在 tun1 上的ip地址。.
4、设置路由后就可以通讯了。
5、这样你已经可以和 你拨入的机器的内网卡通讯了,为了让你拨.入方的其他机器也可以和你通讯,你需要增加一个 a.rp 的响应机制及打开ip转发功能。 乙肝
arp -Ds source._ip -i lan_e.th pub电影
sysctl -w net.ipv4.ip_fo.rwa.rd=1 健康
让你的.内网卡可以响应这个ip的arp回应。学习
到此.为止,一简单的 ip tunnel 已经完成了。当然如果你不想使用 ipip 你更喜欢g.re 那你可以在开头简单的改成 .
moprobe ip_gre
ip tunnel add tun1 .mode gre. ... ... 建材
来实现,而后面的参数基本上.不需要改变。(广告)
上面是一个简单的没有任何加密的隧道建立过程,这样通讯.可能会带来安.全隐患,毕竟我们访问的是内网吗。外贸
下面来给这个隧道加密。
ipsec 是一个复杂的东西,这里只简单的介绍,如果有问题请查阅在线的
文档健康
setkey 是 ipsec 的管理工具,语法类似 setkey -c 然后.输入命令.,按 ctrl^C 退出。 乙肝
setkey 中的命令是
add sr.c_ip dst_ip esp SPI -E 3des-.cbc \"password\";域名
格式就是这个样子,也比较好理.解, 源地址,目的地址,加密.头还是数据,安全码(SPI)验证方式,及共享密钥。.
下面在 211..167.237.218. 上建立 ipsec[成人用品]
setkey -c
flush;
spdflush;
add 21..1.167.237.218 123.127.177.195 esp 11571 -E 3des-cbc \"__esp_test_3des_passwor.d\";学习
add. 123.127.177.195 211.167.237..218 esp 11572 -E 3des-cbc \"__esp_.test_3des_password\";教育
add 211.167.237.218 123.127.177.195 ah 150.71 -A hmac-md5 \"ah_test_..password\";服务器
add 123.127.177.19.5 211..167.237.218 ah 15072 -A hmac-md5 \"a.h_test_password\"; 美容
spdadd 211.167.237.218 123.127.177.195 any -P ou.t ipse.c 鲜花
esp/transp.ort/.192.168.100.1-192.168.100.250/require <性病>
. ah/transport/1.92.168.100.1-192.168.100.250/require;(广告)
spdadd 123..127.177.195 2.11.167.237.218 any -P in ipsec .
. esp/transport/192..168.200.1-192.168.200.250/require [成人用品]
ah/trans.port/192.168.200.1-192.168.200.250./require;.
^C (ctrl+c)
这样就算配置完成了,你可以通过. setkey -D[P][p] 来检.查,或者在 setkey 里使用 dump 电子
为了方便,不用每次都敲一大堆命令,在 .123.127.177.195 上写一个启动策略.脚本。(广告)
#!/bin/bash
#
# chkc.onfig: 345 15 98 美容
#. description: Linux. IPsec SA/SP database.
#
# .Source function libr.ary..
. /etc/init.d/function.s.
start() {
. echo -n $\"ipsec sta.rt ... \"( 游戏 )
/etc/setkey.conf && echo -e \"\\33[.60.G[ \\33[32mOK\\33[39m ]\".
}
case \"$1\" in
start)
start
;;
stop)
echo -.n \"flush;spdflush.;\" | \\投资
setkey -c && e.cho -e \"ipsec sto.ping ... \.\33[60G[ \\33[32mOK\\33[39m ]\" 女人
;;
reload)
. $0 stop教育
$0 sta.rt电影
;;
*)
echo $\"Usage:. $0. {start|stop|reload}\"( 游戏 )
exit 1
esac
exit $?
# cat setkey.co.nf投资
#!/sbin/set.key -f 汽车
flush;
spdflush;
# ESP
add 211.167.237.218 123.127.177.195 esp 11571 -E 3des-cbc \"_._esp_test_3des._pas.sword\"; 鲜花
add .123.127.177.195 211.167.237.218 esp 11572 -E 3des-.cbc \"__esp_t.est_3des_password\"; 婚庆
# AH
add 211.167.237..218 123.127.177.195 ah 15071 -A hmac-md5 \".ah_test_p.assword\";.
add 123.127.177..195 211.167..237.218 .ah 15072 -A hmac-md5 \"ah_test_password\";学习
# POLICY
add 123.127.177.195 211..167.237.218 .ah 15072 -A hmac-md5 \"ah_.test_password\";.
spdadd 21.1.167.237.218 123.127.177.195 any -P in ips.ec.
esp/transp.ort/192.168.100.1-192.168.100.25.0/require.
a.h/transport/192..168.100.1-192.168.100.250/require;--- 印刷
spdadd 123.127.177.1.95 211.167.2.37.218 any -P out ipsec 乙肝
. es.p/transport/192.168.200.1-192.168.200.250/require 鲜花
ah/transport/192.168..200.1-192.168.200.250/.require; 乙肝
接下来我们就运行 ipse.c.sh start 就能启动 ipsec 了,如果想停止就.运行 ipsec.sh stop(广告)
或者你还可.以吧 ipsec 拷贝到 /etc/init.d/ipsec 然后运行 chkconfig. --add i.psec 让他作为服务,开机就启动。 建材
可能细心的读者已经发现在两个服务器上的脚本略有不同,实际就.是把 Policy. 里面的 in 和 out 对换一下,然后写上本地子网就可以了。.
上面是一个简单的隧道建立过程,下.面我们来个.复杂一点的,也是我们常碰到的结构。.
图2
-.--------- ----------.--- -----.------- ---------------- ------- 乙肝
| client | <--> | nat server| <--> | interne.t .| <-.-> | Linux server | <--> | Lan |服务器
---------- --.----------- ------------ --------.-------- -----.--健康
|client ip 192.16.8.100.100/24 .gateway 192.168.100.254 . |.
|nat server: lan_ip 192.168.1.00.254/24 wan_i.p 123.1.19.206.165 |( 游戏 )
|Linu.x server: lan._ip eth0 192.168.200.100/24 wan_ip eth1 123.127..177.210 |电影
|------------------------------------------.------------------.--.------------------|教育
这个结构.比较麻烦了.,因为我们的源地址会被改写一次,这个该如何配置呢。.
实际上在linux上配置这个也很简单,.只要遵循原则,看见谁,.就写谁的方法就没有问题。虚拟主机
比如在我们客户机上看见的一定是 由我们本地的ip(伪)到远程.服.务器的i.p(实),而远程服务器看到的情况却有点不一样,服务器看到的是,客户机经过nat后的ip(实),和本机ip(实)在通讯,根据这个原则,我们写出如下命令。电影
A:client
modprobe. ip_gre--------------彩票
ip tunnel add tun2 mode. gre remote 123.127..177..210 local 192.168.100.100 ttl 64(广告)
ip link set tun2 mtu 14..80 up电脑
ip ad.dress add 192.168.200.253 br.d 255.255.255.255 peer 123.127.17.7.210 dev tun2电脑
B:Server
modprobe ip._gre 美容
ip. tunnel add tun2 .mode gre remote 123.119.2.06.165 local 123.127.177.210 ttl 64.
ip link. set tun2 mtu 1480 .up 女人
ip address add 192.16.8..100.253 brd 255.255.255.255 peer 12.3.119.206.165 dev tun2 电子
这样隧道就建立起来了。
服务器端配置:
果想让这个clien.t能访问内网的其他机器需要加一个arp 的响.应机制及ip转发。.
arp -Ds. source_ip .-i lan_eth pub 建材
sysct..l -w net.ipv4.ip_forward=1 杀毒
如果你做的 vpn_pr.oxy ,不希望他访问你的.内网,而仅仅是用来代理上网,那你就需要去掉这个。.
ar.p -d sou.rce_ip dev lan_eth服务器
添加一个ip伪装的功能。
iptables -t nat -A POSTROUTING -s 192.168.200.2.5.3 -j MASQUERADE学习
当然如果你二者都需要,那你.就都添加就可以了。 女人
客户机配置:
添加一.个我们到对方服务器的路由电脑
ip route. add 123.127.177.2.10 via 192.168.100.254.
用来保证我们能链接到远程的 Linux S.erve.r.
如果我们想访问他的内网,我们就需要添加到对方内网的路由,当然这需要服务器给你做a.rp响.应。.
ip route 192.168.200.0/24 via .192.168.2.00.253.
如果我们想像 vpn_p.roxy 一样使用他,那也非常简单,修改默认网关就可以了。.--------------彩票
(也许你会觉得这有问题,请仔细想想,这里遍历了2次路.由表,保证了链.路、数据的畅通).
ip route change default via 19.2.16.8.200.253电脑
隧道已经配置好.了,但加密却有了问题:健康
我们知道客户机的.原地址是经过1次nat的,而加密验证ip头是在nat之前,这个如和处理呢.。 外汇
方法1、去掉头部验证.,只对数据段加密,.
对于.一般的情况加密数据段已经足够了,我们可以简单的去掉这部分.来实现。 鲜花
setkey.conf. # AH 里面的东.西,然后在策略里禁止 AH 强制加密认证。.
去掉# AH
add 211.167.237.218 123.127.17.7.195 ah 15071 -A. hmac-md5 \"ah_test_passwo.rd\"; 建材
add 123.127.177.19.5 211..167.237.218 ah 15072 -A hm.ac-md5 \"ah_test_password\";
修改策略为:
spdadd 21.1.167.237.218 123.127.1.77.195 any -P out ipsec 乙肝
. e.sp/transport/192.168.100.1-192.168.100.250/require; 美容
... ...
好了我只写这么多,至于服务器两端具体如何.修改,呵呵要.自己动手了。虚拟主机
方法2、将访问我.们的源地址换回去,在做验证。健康
这种方法涉及了很.多的编程知识,可能我们还要专门为他写一个模块,这里不讨.论了。 建材
如果你觉得 ipsec 这.个命令很麻烦,还需要.自己写一大堆的脚本,那你可以使用 racoon 汽车
racoon. 是 IKE 的守护进程,他的配置文件是 racoon.con.f.
racoon.conf
# Racoon IKE daemon config.ur.ation file. 乙肝
# See \'man racoon.conf\' for a description of the format and e.ntri.es.服务器
path include \"/et.c./racoon\";.
path pre_.shared_key \"/etc/racoon/psk.txt\.";.
path certif.icate \"/etc/racoon/certs.\"; 女人
lis.ten { isakmp 123.127.177.195 [5.00]; }.
sainfo a.nonymous.
{
pf.s_group 2; 杀毒
. lifetime time 1 hour. ;(广告)
encryption_algorithm. .3des, blowfish 448, rijndael ;健康
authentication_.algorithm hmac_sha1, hmac._md5 ;投资
compression_algorithm. def.late ; 鲜花
}
include \"/etc/racoon/211.167.237.218.c.on.f\";电脑
看见了吧,实际我就在最后加了一句话 include ... 上面加了一个监听的地址.,剩下都不用改。. 美容
其实 racoon.conf 的配置也蛮复杂的,不过有人已经.给我们写好了脚本来处理,这样.就简单多了。.
只需要修改这一点,其.他的都不用管了。.
然后建立 /etc/sysconfig/network-script/ifc.fg-ipsec1. 这个文件,这个就是我们的配置文件。<性病>
内容也很简单 :
DST=211.167..237.218--------------彩票
TYPE=IPSEC
ONBOOT=yes
IKE_METHOD=PSK
IKE_PSK=testpas.sword虚拟主机
文件的配置很少,注意两处就行了,第一 DST 要写对方的 ip 地址,从名字也很好认的,第二,共享密钥要完全一样,就是 IKE_PSK,配置到这里就.算完了,书上推荐把密码单独放到一个文件里,然后设定这个文件的权限 600,为了安全你也可以这么做,但我喜欢放在一起好.管.理吗,(如果黑客已经有了你机器的shell,我想即使是普通用户,他也有办法看到root权.限的文件的)接下来我们直接用 ifup ipsec1来启动就可以了。然后你会发现你的通讯也加密了。别忘了两边的机器都要加密.才能通讯的.哦,同理实际隧道也可以通过 ifcfg-ppp.这样的配置文件来让脚本自动生成,到那那样你就看不到后面的这些东西了,ifcfg-ppp 就自己来写吧。.
在补充一句,ra.coon 是在有通讯发生的时候才对数据加密的,所以你.第一次连接远程主机会比较慢,当.然这也仅仅是第一次,大概等待2~5秒。如果你想看策略最好是一边通讯,一边查看,要不然,你可能看不到哦。 健康
3、其.他方法,软件,pptp openvpn.
从这里下载
http://www.poptop.org/ pptpd 的软件。.
我.下载的是 1.3.4 解压,然后编译。 女人
默认的 logwtmp 是 2.4.3 的版本,我系统的 pppd. 是 2.4.4 的,不修改的话.会报错。.
把 plugins/patchlevel.h 中的 版本号改成 2.4.4 时间乱写一个就好了。...
#define VERS..ION \"2.4.4\"--- 印刷
#define DATE . \"13 Jan 200.5\"外贸
然后编译,安装。
./configure
make
make check
make install
安.装完以后把编译出来的 logwtmp.so 拷贝到 . /usr/lib/pptpd 下面。 建材
mkdir /usr/lib/pptp.d<性病>
cp. plugins/pptpd-logwtmp.so /.usr/lib/pptpd/pptpd-logwtmp.so 鲜花
然后把配置文件也拷贝过去。
c.p samples/op.tions.pptpd /etc/ppp/ 杀毒
cp samples/pptpd.conf /.et.c.
修改一下配置就可以启动了。
op.tions.pptpd 全部注释.掉,有着几行就行.
name pptpd
refuse-chap
refuse-mschap
requ.ire-mschap-v2 美容
r.equire-mppe-128( 游戏 )
proxyarp
lock
nobsdcomp
novj
novjccomp
nologfd
如果使用 mppe 的加.密的话需要 kernel 2.6.15-rc1 以上。否则要打补.丁。呵呵我的版本够高了,这就省事了。.
pptpd.conf
p.pp /usr/sbin/pppd 乙肝
option ./etc/ppp/options.p.ptpd[成人用品]
logwtmp
localip 12.3.127.177.195电脑
rem.oteip 192.168.1.00.10-50.
list.en 123.127.177.195域名
speed 115200
connections 20
这样就配.置完了,直接用 pptpd 启动。[成人用品]
接下来配置客户端。
下载 pptp 软件
http://pptpclient.sourceforge.net/ 我下载的是 1.7.2(广告)
我的系统. ip 命令在 /sbin 下. 修改 routing.c 吧 /bin/ip 都换成 /sbin/ip域名
make
make install
然后测试连接
先在服.务器的 /etc/ppp/chap.-secrets 添加用户名和密码.
admin pptpd .admin * 美容
然后在客户机上创建配置文件
pptpsetup --cr.eate v.pntest --server 123.127.177.195 --username admin -.-password admin --encrypt.
拨号练接
pppd .call vpntest--- 印刷
如果一切正常的话,你应该用 i.fconf.ig 就能看见 ppp0 这个设备了,而且数据通讯是 mppe 加密的。 健康
总结一下:建立隧道的完整步骤.为 婚庆
1、两台实ip机器.建立隧道。图1.
A:Server
modprobe ipip
ip tunnel add tun1 mode ipip remote 1.23.1.2.7.177.195 local 211.167.237.218 ttl 64(广告)
ip link set tun1 mt.u 1480 u.p 女人
ip address add 192.168.200..253 brd. 255.255.255.255 peer 123.127.177.195. dev tun1.
ip route ad.d 192.168.20.0.0/24 via 192.168.200.253.
a.rp -Ds 192.168.100..253 eth0 pub教育
sysctl -w n.et.ipv4.ip_forwar.d=1 汽车
serv.ice ipsec start.
B:Server
ip tunnel add tun1 mo.de ipip remote 211.1.67..237.218 local 123.127.177.195 ttl 64健康
ip link set .tun1 mtu 14.80 up.
ip a.ddress add 192.168.100.253 brd 255.255.255.255 pe.er 211.167.237.218 dev .tun1电脑
ip ro.ut.e add 192.168.100.0/24 via 192.168.100.253.
arp -D.s 192.168.200.253 et.h0 pub 鲜花
sysctl -w net.ip.v4.ip_f.orward=1[成人用品]
se.rvice ipsec start 健康
2、c.lient 通过 nat 和 服务器建立.隧道。图2域名
A:client
modprobe. ip_gre健康
ip tunnel add tun2 mo.de gr.e remote 123.127.177.210 local 192.168.100.10.0 ttl 64外贸
ip. link set t.un2 mtu 1480 up(广告)
ip .address add 192.168.200.253 brd 255.255.255.255 peer 123.127.177.210 de.v tu.n2.
ip route add 123.127.177.210 via 192...168.100.254电影
如果只想访问内网
i.p route add 192.168.200.0/24 via 192.1.68.200.253 外汇
如果想全部都从远程出去.(vpn_proxy) 乙肝
ip route change de.fault via 192.168.200.253.虚拟主机
servic.e ipsec start--- 印刷
B:Server
modprobe ip._gre--- 印刷
ip tunnel add tun2 mo.de. gre remote 123.119.206.165 local 123.127.177.21.0 ttl 64 婚庆
ip link set tun.2 m.tu 1480 up 健康
ip address add. 192.168.10.0.253 brd 255.255.25.5.255 peer 123.119.206.165 dev tun2 建材
arp -Ds 192.168.2..00.253 eth0 pub
sysctl -w net.ipv4..ip_.forward=1学习
ip rou.te add 192.168.100.0/24 via 192.1.68.100.253<性病>
iptables -t nat -A POSTROUTIN. -s 1.92.168.200.0/24 -j MASQUERADE 外汇
service .ipsec start.
ipsec 脚本
#!/bin/bash
#
#. chkconfig: 345 15 98.
# description: Linux I.Psec SA/SP dat.abase.
#
#. S.ource function library..
. /etc/init.d/f.unctions 外汇
start() {
ech..o -n $\"ipsec start ... \".
/et.c/setkey.conf && echo -e \"\\33[60G.[ \\33[32mOK\\33[39m ]\" 杀毒
}
case \"$1\" in
start)
start
;;
stop)
. echo -n \"flush;spdflu.sh;\" | \\.
setk.ey -c && echo -e. \"ipsec stoping ... \\33[60G.[ \\33[32mOK\\33[39m ]\" 汽车
;;
reload)
. $0 stop.
. $0 start--- 印刷
;;
*)
echo $\"Usage: $0 {st.art|s.top|reload}\" 电子
exit 1
esac
exit $?
setkey.conf 脚本
#!/sbin/se.tkey -f.
flush;
spdflush;
# ESP
ad.d 211.167.237.218 123.127.177.195 esp 11571 -E 3des-cbc \"__esp._test_3des_passwor.d\";.
add 123.127.177..195 211.167.237.218 esp 11572 -E 3des-cbc \"__esp_tes.t_3des_passwor.d\"; 婚庆
# AH
add 211.167.237.218 123.127.177..195 ah 15071 -A hmac-md5 \".ah_test_password\."; 电子
add 123..127.177.195 211.16.7.237.218 ah 15072 -A hmac-md5 \"ah_test_password\".;健康
# POLICY
a.dd 123.127.177.195. 211.167.237.218 ah 15072 -A hmac-md5 \"ah_test_pass.word\";.
spdad.d 211.167.237.218 123.127.17.7.195 any -P in ipsec 健康
esp/t.ransport/192.168.100.1-.192.168.100.250/require.
. ah/transport/192.168.100.1-192.168..100.250/require;.
spdadd 1.23.127.177.195 211.167.237.218 any -P out. ipsec学习
esp/transport/192..168.200.1-192.168.200.2.50/require.
. . ah/transport/192.168.200.1-192.168.200.250/require;[成人用品]
3、racoon 方法
两台机器分别配置 racoon.conf ifcfg-i.p.sec1 外汇
racoon.conf
# Raco.on IKE daemon configu.ration file. 汽车
# See \\\'man racoon.conf\.\\' for a description of .the format and entries..
path include \"/et.c/racoon\".; 杀毒
path pre_.shar.ed_key \"/etc/racoon/psk.txt\";电脑
pat.h certificat.e \"/etc/racoon/certs\"; 汽车
li.sten { isakmp. 123.127.177.195 [500]; }电脑
sainfo anonymo.us--------------彩票
{
pfs_group. 2;--- 印刷
lifetime .time 1 .hour ; 健康
encryption_algorithm 3des, blowfi.sh 448, rijndael .;健康
. authentication_algorithm hmac_sha1, h.mac_md5 ;.
com.pression_algorithm defla.te ; 外汇
}
include \"/e.tc/r.acoon/211.167.237.218.conf\";.
/.etc/sysconfig/netw.ork-scripts/ifcfg-ipsec1( 游戏 )
DST=211.167.237..218电影
SRCGW=192.168.100.25.4 美容
DSTGW=192.16.8.200.254 汽车
SR.CNET=192.168.100.0/24.
DSTNET=192.168.200..0/24.
TYPE=IPSEC
ONBOOT=yes
IKE_METHOD=PSK
IKE_PSK=testp.assword.
start ifup ips.ec1 .
stop. ifdown ipsec1.
下面是. raco.on.conf 里面的一些配置所使用参数电影
remote X.X.X.X
指明实例只应用于被 X.X.X.X IP .地址所识别的远程节.点。电影
exchange_mode aggressiv.e 鲜花
IPsec 配置使.用验证模式。默认为强.硬模式,这种模式减少连接费用,允许到多个主机的多个IPsec配置。服务器
my_identifie.r address.
. 定义验证节点时要使用的身份识别方法。.
encryp.tion_algorithm 3des.
定义验证时使用的加密术。
hash_algori.thm sha1; 女人
指定在节点商谈过程的第.一阶段中使用的散列算式。 女人
a.uthentication_met.hod pre_shared_key( 游戏 )
定义节点商谈中使用的验证.方法。 乙肝
dh_group N
指定建立动态生成的会话钥匙所用的 Diff.ie-Hellman 组号。默认使用 1.024 位组 电子
sainfo anon.ymous.
意思是只要. IPsec 证件匹配,SA 能够不具名地引发和任何对端.的连接。 婚庆
pfs_group N
定义 Diffie-Hellman. 钥匙交换协议。该协议会决.定 IPsec 节点为 IPsec 连接的第二阶段建立彼此使用的临时会话钥匙的方法。服务器
lifetime .time 1 hour域名
这个参数表明 SA 的整个过程可以使用时间或数据字节..数量来衡量。 婚庆
encrypt.ion_algorithm 3.des, blowfish 448, rijndael虚拟主机
指定第二阶段中所用的被支持的.加密术。 外汇
authentication_alg.orithm hmac_sha1., hmac_md5 婚庆
列举被支持的用.来验证的散列算式。.
compre.ssion_algorithm defla.te.
定义用于 IP 载量压缩(IPCOMP)支持的压缩算式。它具备在较慢的连接中较快地.传输 IP 数据报的.潜在能力。--- 印刷
4、pptp 软件
安装软件,配置用户,每个软件都略有不同,.但思路一样,比如上面说.的 pptpd 通过抓包我们可以看出,他使用的就是 gre 隧道技术,具体.配置要看软件的帮助了。(广告)
至此,我了解的tunnel知识讲完了,我在.测试的时候发现一个奇怪的问题。..
客户.端 北京:ADSL 服务器端,网通固定IP(广告)
我使用 ipip. 或 gre 数据包就无法到达,但只要数据一加密就没有问题,.难道网通会过滤这些东西?!电脑
[ .本帖最后由. xinyv 于 2008-12-30 17:55 编辑 ] 美容
