发信人: zenz.hu(真)
整理人: hackerbay(2002-09-06 16:48:52), 站内信件
|
★原文转载自openbsd版zenz.hu的《OBSD-SSH Sentinel实现VPN手册》★ 上回我们讲了用OBSD-PGPnet Freeware来实现VPN,实现起来很简单。不过经过考察,却发现存在一个安全隐患,不是OBSD的,是PGPnet Freeware的,就是在host列表中,可以导出选择的host到文件,而用textpad等工具打开这个host文件,就会发现,口令居然是以明文格式存放的。可以这么轻松的导入导出host已经不是好事,而口令更以明文存放,就更加是有病,不知道NAI是怎么想的了,两个hotfix都没有处理这个问题。
所以,我们赶快找一个替代品吧。我搜索了一下,就只发现了这个免费的替代产品SSH Sentinel,可以在ssh.com下载。这个手册用的是目前最新的版本1.3.2.2。
首先,我们来看看OBSD服务端的设置吧
创建/etc/isakmpd/isakmpd.conf文件,内容如下:
[Phase 1]
Default=ISAKMP-clients
[Phase 2]
passive-Connections=IPsec-clients
[ISAKMP-clients]
Phase=1
Configuration=Sentinel-main-mode
Authentication= your_password_here
[IPsec-clients]
Phase=2
Configuration=Sentinel-quick-mode
Local-ID=Local-Net
Remote-ID=Remote-host
[Local-Net]
ID-type=IPV4_ADDR_SUBNET
Network=xxx.yyy.zzz.0 ;<替换成你自己的网段>
Netmask=255.255.255.0
[Remote-host]
ID-type=IPV4_ADDR
Address=0.0.0.0
[Sentinel-main-mode]
EXCHANGE_TYPE=ID_PROT
Transforms=ISES_MAIN
[Sentinel-quick-mode]
EXCHANGE_TYPE=QUICK_MODE
Suites=ISES_QUICK
[ISES_MAIN]
ENCRYPTION_ALGORITHM= 3DES_CBC
HASH_ALGORITHM= MD5
AUTHENTICATION_METHOD= PRE_SHARED
GROUP_DESCRIPTION= MODP_1024
LIFE= ANY
[ISES_QUICK]
ENCRYPTION_ALGORITHM= 3DES_CBC
HASH_ALGORITHM= HMAC_MD5
AUTHENTICATION_METHOD= PRE_SHARED
GROUP_DESCRIPTION= MODP_1024
LIFE= ANY
创建/etc/isakmpd/isakmpd.policy文件,内容如下:
Authorizer: "POLICY"
Licensees: "passphrase:your_password_here"
看看,比PGPnet的还要简单,对不?不过别忘了,这两个文件的属性设成600,并且属主是root。然后,就可以执行isakmpd来启动服务了。
SSH Sentinel的配置部分因为要插图,所以不放在这里,请到我的网站去download一个pdf文件吧.
http://gadsoft.3322.net/packages/vpn-doc2.pdf
----
来OpenBSD版看看吧!
我的QQ:2562293 |
|