|
发信人: zenz.hu(真) 整理人: hackerbay(2002-09-06 16:48:52), 站内信件 |
| ★原文转载自openbsd版zenz.hu的《OBSD-SSH Sentinel实现VPN手册》★ 上回我们讲了用OBSD-PGPnet Freeware来实现VPN,实现起来很简单。不过经过考察,却发现存在一个安全隐患,不是OBSD的,是PGPnet Freeware的,就是在host列表中,可以导出选择的host到文件,而用textpad等工具打开这个host文件,就会发现,口令居然是以明文格式存放的。可以这么轻松的导入导出host已经不是好事,而口令更以明文存放,就更加是有病,不知道NAI是怎么想的了,两个hotfix都没有处理这个问题。 所以,我们赶快找一个替代品吧。我搜索了一下,就只发现了这个免费的替代产品SSH Sentinel,可以在ssh.com下载。这个手册用的是目前最新的版本1.3.2.2。 首先,我们来看看OBSD服务端的设置吧 创建/etc/isakmpd/isakmpd.conf文件,内容如下: [Phase 1] Default=ISAKMP-clients [Phase 2] passive-Connections=IPsec-clients [ISAKMP-clients] Phase=1 Configuration=Sentinel-main-mode Authentication= your_password_here [IPsec-clients] Phase=2 Configuration=Sentinel-quick-mode Local-ID=Local-Net Remote-ID=Remote-host [Local-Net] ID-type=IPV4_ADDR_SUBNET Network=xxx.yyy.zzz.0 ;<替换成你自己的网段> Netmask=255.255.255.0 [Remote-host] ID-type=IPV4_ADDR Address=0.0.0.0 [Sentinel-main-mode] EXCHANGE_TYPE=ID_PROT Transforms=ISES_MAIN [Sentinel-quick-mode] EXCHANGE_TYPE=QUICK_MODE Suites=ISES_QUICK [ISES_MAIN] ENCRYPTION_ALGORITHM= 3DES_CBC HASH_ALGORITHM= MD5 AUTHENTICATION_METHOD= PRE_SHARED GROUP_DESCRIPTION= MODP_1024 LIFE= ANY [ISES_QUICK] ENCRYPTION_ALGORITHM= 3DES_CBC HASH_ALGORITHM= HMAC_MD5 AUTHENTICATION_METHOD= PRE_SHARED GROUP_DESCRIPTION= MODP_1024 LIFE= ANY 创建/etc/isakmpd/isakmpd.policy文件,内容如下: Authorizer: "POLICY" Licensees: "passphrase:your_password_here" 看看,比PGPnet的还要简单,对不?不过别忘了,这两个文件的属性设成600,并且属主是root。然后,就可以执行isakmpd来启动服务了。 SSH Sentinel的配置部分因为要插图,所以不放在这里,请到我的网站去download一个pdf文件吧. http://gadsoft.3322.net/packages/vpn-doc2.pdf ---- 
来OpenBSD版看看吧! 我的QQ:2562293 |
|
[关闭][返回] |