 |
 |
|
Инсталляция.
cd /usr/src В этом каталоге должен быть каталог с названием linux с исходными текстами ядра cp freeswan-X.X.tar.gz gunzip freeswan-X.X.tar.gz tar xvf freeswan-X.X.tar cd freeswan-X.X make insert - вставка исходных текстов ядра FreeS/WAN в основные тексты ядра, из каталога /usr/src/linux делаются символические линки в каталог /usr/src/freeswan-X.X make menugo - эта команда при своей работе производит вызов команды "make menuconfig" в каталоге linux; через появившуюся систему меню проводим конфигурацию ядра, убеждаемся, что в ядро добавлены функции FreeS/WAN (смотреть в разделе "Networking options" там должен появиться подраздел "IPSEC options"), выходим из системы меню с сохранением установленной конфи- гурации ядра, после выхода из меню начинает выполняться компиляция программ FreeS/WAN, а затем идет компиляция ядра с сохраненной конфигурацией. cd ../linux make install - инсталляция скомпилированного ядра make modules - компиляция загружаемых модулей, связанных с новым ядром make modules_install - инсталляция скомпилированных модулей ядра После этого перегружаем ОС, во время инициализации нового ядра должны появиться сообщения, соответствующие вкомпилированному коду FreeS/WAN. Обратите внимание, что если по делам бизнеса Вам необходимо перевезти крупные грузы, то придется приобретать прицепы Samro  Конфигурирование и запуск Вся конфигурация хранится в 2-х файлах из каталога /etc: ipsec.secrets и ipsec.conf. IPSEC-Internet Protocol SECurity - функции защищенности, реализованные на уровне протокола IP, FreeS/WAN является одной из реализаций IPSEC. pluto - демон FreeS/WAN, осуществляющий обмен ключами согласно IKE. ipsec.secrets - это файл с секретами, которые используются для аутентификации; для каждого соединения заводится отдельный секрет; соединения определяются двумя адресами шлюзов, участвующих в соединении и собственно секретом. Поддерживаются секреты двух видов: разделяемые предварительно оговоренные секреты и ключи RSA. В первом случае секрет представляет собой строку, о содержании которой знают обе стороны (они предварительно договариваются о ее содержании). Во-втором случае каждая из сторон соединения имеет отличный от другой стороны приватный ключ RSA. Обмен секретами между шлюзами происходит по протоколу Internet Key Exchange (IKE). Будем рассматривать только случай использования разделяемых секретов. В этом случае для двух сторон (двух шлюзов), участвующих в соединении, строки ipsec.secrets для этого соединения будут одинаковыми (в случае соединения только двух сетей файлы будут одинаковы полностью). Установленный туннель шифруется по протоколу 3DES. ipsec.conf - содержит всю остальную конфигурацию FreeS/WAN. Этот файл состоит из 2-х видов секций: "config.setup" (основные конфигурационные параметры) и секция описания соединения (имеет вид "conn имя_соединения"). Специальная секция соединения "conn %default" описывает параметры, применяемые ко всем остальным секциям соединений в файле, каждая из которых определяет один шифрованный туннель. Имена соединений и содержимое основных параметров соответствующих секций соединений должны быть одинаковыми на обоих шлюзах. Некоторые параметры "config setup": interface - имеет вид interface="ipsec0=ppp0 ipsec1=eth1", то есть этот параметр устанавливает соответствие между виртуальным интерфейсом FreeS/WAN и реальным интерфейсом канального уровня. Если параметр устанавливается как interfaces=%defaultroute, то это означает найти реальный интерфейс d, соответствующий default-маршруту и написать "ipsec0=d"; plutoload - имеет вид plutoload="aaa bbb ccc", содержит список соединений, которые загружаются во внутреннюю базу данных pluto при его старте; если используется специальный параметр %search, то загружаются лишь соединения, у которых установлен хотя бы один из параметров auto=add или auto=start; plutostart - имеет вид plutostart="aaa bbb ccc", содержит список соединений, которые загружаются с попыткой установления соединения во внутреннюю базу данных pluto при его старте; если используется специальный параметр %search, то загружаются и стартуют лишь соединения,у которых установлен параметров auto=start; Некоторые параметры "conn имя_соединения": left и right - IP-адреса шлюзов соединения; не имеет значения, какой из шлюзов будет left, а какой right, главное, чтобы эти значения были прописаны одинаково на обоих шлюзах leftsubnet и rightsubnet - сети, находящиеся за левым и правым шлюзом. leftnexthop - следующий hop для достижения right, после IP-адреса left, если left и right имеют direct connection (между ними нет промежуточных шлюзов), то эти параметры не устанавливаются; в случае, когда ставится interfaces= %defaultroute, значение параметра устанавливается как IP-адрес шлюза, стоящего в маршруте default, не взирая на явно прописанное значение. rightnexthop - как leftnexthop, только для шлюза right. auto - значение этого параметра показывает, что необходимо сделать с соединением при старте IPSEC; этот параметр связан с параметрами plutostart и plutoload: если auto=add и plutoload=%search, то данное соединение загружается в базу данных pluto, если auto=start и plutostart=%search, то оно загружается с инициированием соединения, если auto=ignore (значение по умолчанию), то устанавливается, что соединение не имеет автоматических операций. Запуск системы IPSEC осуществляется командой "ipsec setup start", а останов командой "ipsec setup stop". При выполнении этих команд стартует и завершается pluto. FreeS/WAN может функционировать в двух основных режимах - ручной и автоматический. В ручном режиме не производится постоянного обмена ключами, во втором случае pluto на обоих шлюзах периодически договариваются о смене ключей. Для работы ручного режима запуск pluto не нужен. Чтобы запустить и тот, и другой режим, в начале надо стартовать FreeS/WAN: ipsec setup start Затем, чтобы стартовать ручной режим для соединения "aaa", вводим: ipsec manual --up aaa инициировать соединение "aaa" а если мы хотим автоматический режим, то вводим: ipsec auto --add aaa добавить в БД соединение "aaa" ipsec auto --up aaa инициировать соединение "aaa" Все эти команды должны быть запущены на обоих шлюзах. Останов FreeS/WAN производится при помощи "ipsec setup stop". Просмотр текущих соединений осуществляется по "ipsec look". |
|
