手册关于VPN总分补遗

                                                                　　《手册》上对VPN的总分描述很简单，对于有经验的人来说可能非常好理解，但是，理论和实践经验稍微差一点的，就可能有些困难。现补充部分如下：
　　1、第一节中大量篇幅关于Fast_IPSec的问题，给人的感觉是好象现在已经向Fast_IPSec转变。但其实不然，Fast_IPSec还不能和IPSec共用。（个人理解，可能不正确）
　　2、第三节说明了本章适用的环境，其实在VPN的应用分类中，这个属于企业扩展网。AccessVPN不适用。也就是说，如果你想建一个服务器，或者想从FreeBSD拨到另一个VPN服务器，那么本章对你帮助不大。
　　3、注意第三节最后面的步骤：（1）先把两个局域网连通。其实这一步本身已经完成了隧道功能，如果要求不高的地方，完全可以用来生产用。速度比加上IPSec后要快得多。（2）加密。（3）设置客户端。
　　4、3.1节提到内核选项gif，其实不编译进去也可以，在用得到的时候，FreeBSD自动挂上相应的内核模块if_gif.ko。
　　　　3.1节还提到需要每个网关4个IP，其实2个就足够了，注意前面还有一句话，就是对于gif，因为它需要知道两件事情：隧道的两个端点和隧道运输的内容。并且，其它IP的相应的访问功能还是一样使用。并不会因为有了隧道，就影响到比如ssh,ftp的使用，但是，隧道两端的加密协议类型是可以用racoon设置的，如果你想建立最安全的隧道，你完全可以把所有三层以上的协议加密。
　　5、3.2节问题较多：
　　　（1）说可以手动设置算法、密钥等，但是没给方法，连一点提示都没有。
　　　（2）racoon和
ipsec-tools
的关系：安装ipsec-tools的时候，就把racoon安装好了。
　　　（3）racoon默认是启不开的。要做以下设置：
　　　　　　mkdir /usr/local/etc/racoon
　　　　　　cp /usr/local/share/examples/ipsec-tools/racoon.conf.sample /usr/local/etc/racoon/racoon.conf
　　　　　　ee /usr/local/etc/racoon/racoon.conf　修改其中psk.txt的位置。
　　　　　　建立一个psk.txt，放在racoon.conf里设置的位置。
　　　（4）racoon的文件信息放在：/usr/local/etc/rc.d/racoon里面。注意一个$name的变量，它基本上指示了所有的文件地点。
　　　（5）注意psk.txt的位置。它的内容：w.x.y.z secret，把后面的字母换成你自己的，这个字符串就是两个网关通信的基础，如果不一样，就不能通信。
　　6、本章多次提到防火墙，并且只用了ipfw作为示例，如果不用考虑这方面的因素，直接在网关上写上
　　　ipfw add 10 allow ip from any to any
　　7、加了VPN以后，原来的服务不受影响，包括NAT。只是把对应的包转到隧道，其它的包还是按NAT原来的路线走。
　　8、调试信息：
　　　　（1）想看racoon的信息，启动racoon时，加上一个-l参数。
　　　　（2）看连接的过程，tcpdump。
　　　　（3）IPSec加密启用后，可以用setkey -D查看状态。

　　
               
               
               
               
               
               
               

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有