OpenSwan як сервер віддаленого доступу, Блог «Адміна-Маньяка»
У цій статті я розповім про один із варіантів налаштування сервера віддаленого доступу IPSec VPN на базі OpenSwan. Для клієнтського підключення використовуватимуться GreenBow VPN Client та Shrew VPN. Аутентифікація за допомогою Preshared Key.
1. Встановлення OpenSwan
OpenSwan є в стандартному репозиторії CentOS, проте версія 2.6.21 на жаль не підтримує множинні підключення з різними ключовими фразами в агресивному режимі (тут по-моєму просто втрачається сенс використання менш захищеного агресивного режиму). Тому беремо новішу версію з сайту openswan.org і встановлюємо:
Для нормальної роботи скриптів необхідно встановити які і lsof:
Відкриваємо файл /etc/sysctl.conf і змінюємо значення net.ipv4.ip_forward c 0 на 1, тим самим дозволяючи форвардинг пакетів і дописуємо два рядки забороняють ICMP send redirects та ICMP accept redirects:
Застосовуємо зроблені зміни
2. Налаштування підключень
На даному етапі я не заглиблюватимуся в спрощення опису за рахунок використання директив also і %default або розташування описів підключень в окремих файлах - на мою головне зробити максимально простий і працездатний приклад.
Відкриваємо файл /etc/ipsec.conf і наводимо його до такого вигляду.
Відкриваємо файл /etc/ipsec.secrets
Додаємо в iptables
Додаємо сервіс ipsec в автозапуск та запускаємо
3. Налаштування VPN клієнтів
Опис налаштування VPN клієнтів напишу трохи пізніше, і думаю найкраще буде перенести цей опис в окрему статтю. На сьогоднішній день із більш-менш живих та стабільних клієнтів я бачу всього два:
1. GreenBow VPN Client (ZyWALL VPN Client) – дуже зручна штука, щоправдаплатна коштує приблизно 50 $.
2. Shrew VPN - безкоштовний, має величезну кількість налаштувань, в яких іноді буває важко знайти те, що потрібно.
Якщо хтось використовує альтернативні варіанти підключення – із задоволенням розгляну їх.
11 Комент. : “OpenSwan як сервер віддаленого доступу”