Инструменты безопасности с открытым исходным кодом


Применение FreeS/WAN - часть 2


ol>
  • Оставьте остальные настройки без изменений и сохраните файл.
  • Скопируйте этот файл на другую машину в то же место.
  • Примените описанную выше команду ipsec verify, чтобы убедиться, что служба IPsec функционирует на обеих машинах.
  • Чтобы установить соединение IPsec, наберите ipsec auto --up net-to-net

    Должно появиться сообщение "IPsec SA established". Если это не так, проверьте настройки или изучите оперативную справку на предмет возможных причин неисправностей.

    Если вы применяете межсетевой экран с трансляцией сетевых адресов, то, возможно, придется написать для него специальное правило, чтобы он не транслировал сетевой адрес этой машины. Многие новые модели межсетевых экранов автоматически распознают пакеты IPsec и пропускают их без изменения, поэтому этот дополнительный шаг не требуется.

  • Чтобы проверить соединение, попробуйте выполнить эхо-тестирование внутреннего адреса на другой стороне удаленного шлюза. Если будет получен успешный ответ, значит, туннель IPsec построен и работает.
  • Если вы на самом деле хотите убедиться, что пакеты шифруются, примените анализатор пакетов, такой как Tcpdump или Ethereal, чтобы попытаться прочитать эти пакеты. Если анализатор идентифицирует пакеты как пакеты ESP (ESP - один из подпротоколов IPsec), а полезная нагрузка будет выглядеть как тарабарщина, значит все работает как надо.
  • Если вы желаете добавить несколько межсетевых соединений, можно просто добавить еще один раздел с новым заголовком, таким как conn office1-to-office2. Можно также переименовать исходное соединение net-to-net, но оно обязательно должно быть одинаковым в конфигурационных файлах ipsec на обеих машинах.
  • Режим мобильного пользователя

    Процедура практически аналогична предыдущей с некоторыми исключениями. В этом режиме под машиной Right понимается локальная машина вашего шлюза IPsec, под Left - машина удаленного пользователя.

    1. На удаленной машине отредактируйте тот же файл /etc/freeswan/ipsec.conf с помощью следующего шаблона, аналогичного конфигурации net-to-net с небольшими отличиями.


      Начало  Назад  Вперед



      Книжный магазин