freebsd ipsec 上的VPN

IPsec 是一种建立在 Internet 协议 (IP) 层之上的协议。 它能够让两个或更多主机以安全的方式来通讯 (并因此而得名)。 FreeBSD IPsec “网络协议栈” 基于
KAME
的实现， 它支持两种协议族， IPv4 和 IPv6。
注意: FreeBSD 包括了采用 “硬件加速的” IPsec 协议栈， 也称作 “Fast IPsec”，它来自 OpenBSD。 它能够通过
crypto(4)
子系统来利用加密硬件 (只要可能) 优化 IPSec 的性能。 这个子系统是新的， 暂时还不支持 KAME 版本的 IPsec 的全部功能。 此外， 为了启用硬件加速的 IPsec，必须把下面的选项加入到内核配置中：
options      FAST_IPSEC  # new IPsec (cannot define w/ IPSEC)
      
需要注意的是， 目前还不能用 “Fast IPsec” 子系统完全替代 KAME 的 IPsec 实现。请参见联机手册
fast_ipsec(4)
以了解进一步的详情。
注意: 如果希望防火墙能够正确地跟踪到
gif(4)
信道的状态，您还需要在内核配置中启用 IPSEC_FILTERGIF：
options   IPSEC_FILTERGIF  #filter ipsec packets from a tunnel
   
　　IPsec 包括了两个子协议：

• 
  Encapsulated Security Payload (ESP), 保护 IP 包数据不被第三方介入， 通过使用对称加密算法 (例如 Blowfish、 3DES)。
  
• 
  Authentication Header (AH), 保护 IP 包头不被第三方介入和伪造， 通过计算校验和以及对 IP 包头的字段进行安全散列来实现。随后是一个包含了散列值的附加头， 以便能够验证包。
  

　　ESP 和 AH 可以根据环境的不同， 分别或者一同使用。
　　IPsec 既可以用来直接加密主机之间的网络通讯 (也就是 传输模式)； 也可以用来在两个子网之间建造 “虚拟隧道” 用于两个网络之间的安全通讯 (也就是 隧道模式)。 后一种更多的被称为是 虚拟专用网 (VPN)。
ipsec(4)
联机手册提供了关于 FreeBSD 中 IPsec 子系统的详细信息。
　　要把 IPsec 支持放进内核， 应该在配置文件中加入下面的选项：
options   IPSEC        #IP security
options   IPSEC_ESP    #IP security (crypto; define w/ IPSEC)
     
　　如果需要 IPsec 的调试支持， 还应增加：
options   IPSEC_DEBUG  #debug for IP security
情景： 两个网络都接入了 Internet， 希望像一个网络那样工作
　　现有条件如下：

• 
  至少有两个不同的站点
  
• 
  每个站点都使用内部的 IP
  
• 
  两个站点都通过运行 FreeBSD 的网关接入 Internet。
  
• 
  每个网络上的网关至少有一个公网的 IP 地址。
  
• 
  网络的内部地址可以是公网或私有的 IP 地址， 这并不是问题。 如果需要，还可以在网关上运行 NAT。
  
• 
  两个网络上的 IP 地址 不冲突。虽然理论上可以通过 VPN 和 NAT 连用来使这种情况能够正常工作，但那毫无疑问将是管理的噩梦。
  

　　如果您发现您正打算连接两个内网使用同一私有 IP 地址范围的网络 (例如它们都使用 192.168.1.x)， 则其中的一个必须修改网络地址。
　　网络的拓扑结构如下：

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有