25.6./etc/ipsec.conf文件
我们必须编辑ipsec.conf文件 vi/etc/ipsec.conf并更改默认值以符合我们对 IPSEC 配置和通信的规范。目前,此文件中有两种类型的节/etc/ipsec.conf:
Aconfig节,用于指定 IPSEC 的常规配置信息,
Aconn节,用于指定 IPSEC 连接。除非正在进行手动密钥交换,否则其内容对安全性不敏感。请注意,出于安全原因,不建议手动密钥交换。
第一种节类型,称为configsetup,是 IPSEC 软件已知的唯一 config 节,其中包含适用于所有连接的 IPSEC 整体设置参数,以及软件启动时使用的信息。
第二种类型,称为conn,包含连接规范,定义要使用 IPSEC 建立的网络连接。给它的名称是任意的,仅用于向 ipsec_auto(8) 和 ipsec_manual(8) 标识连接。
# /etc/ipsec.conf - FreeS/WAN IPSEC configuration file
# More elaborate and more varied sample configurations can be found
# in doc/examples.
# basic configuration
config setup
interfaces="ipsec0=eth0"
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
# sample connection
conn deep-mail
left=208.164.186.1
leftsubnet=192.168.1.0/24
leftnexthop=205.151.222.250
right=208.164.186.2
rightsubnet=192.168.1.0/24
rightnexthop=205.151.222.251
keyingtries=0
auth=ah
auto=start
|
这告诉ipsec.conf文件为此特定配置设置自身,使用
- interfaces="ipsec0=eth0"
此选项指定 IPSEC 要使用的适当虚拟和物理接口。默认设置,interfaces=%defaultroute,将查找您的默认互联网连接或公司网络。此外,您可以命名一个或多个要由 FreeS/WAN 使用的特定接口。例如
- interfaces="ipsec0=eth0" interfaces="ipsec0=eth0ipsec1=ppp0"
两者都将eth0接口设置为ipsec0。但是,第二个还支持通过 PPP 接口的 IPSEC。如果未使用默认设置interfaces=%defaultroute,则指定的接口将是此网关机器可以用来与其他 IPSEC 网关通信的唯一接口。
- klipsdebug=none
此选项指定 KLIPS - 内核 IPSEC 代码的调试输出。默认值 none 表示没有调试输出,值 all 表示完整输出。
- plutodebug=none
此选项指定 Pluto 密钥的调试输出。默认值 none 表示没有调试输出,值 all 表示完整输出。
- plutoload=%search
此选项指定在 Pluto 启动时要自动加载到内存中的连接(按名称)。默认值为 none,值 %search 加载所有具有 auto=add 或 auto=start 的连接。
- plutostart=%search
此选项指定在 Pluto 启动时要自动协商的连接(按名称)。默认值为 none,值 %search 启动所有具有 auto=start 的连接。
- conn deep-mail
此选项指定用于标识要使用 IPSEC 建立的连接规范的名称。按照约定,最好根据连接的两端来命名连接,以避免错误。例如,deep.openna.com和mail.openna.com网关服务器之间的链接可以命名为deep-mail,或者您的蒙特利尔和巴黎办事处之间的链接,montreal-paris.
: 请注意,deep-mail或您选择的任何名称应在两个网关上的ipsec.conf文件中相同。换句话说,您应该在第二个网关上的/etc/ipsec.conf文件中进行的唯一更改是更改interfaces=行,以匹配第二个网关用于 IPSEC 连接的接口,当然,如果它与第一个网关不同。例如,如果两个网关都使用接口eth0用于 IPSEC 通信,则无需更改第二个网关上的interfaces=行。另一方面,如果第一个网关使用eth0,而第二个网关使用 eth1,则必须更改第二个网关上的interfaces=行以匹配接口 eth1。- left=208.164.186.1
此选项指定网关的外部接口的 IP 地址,用于与另一个网关通信。
- leftsubnet=192.168.1.0/24
此选项指定网关后面的私有子网的 IP 网络或地址。
- leftnexthop=205.151.222.250
此选项指定适当方向上的第一个路由器或 ISP 路由器的 IP 地址。
- right=208.164.186.2
这与left=的解释相同,但适用于右侧目标。
- rightsubnet=192.168.1.0/24
这与leftsubnet=的解释相同,但适用于右侧目标。
- rightnexthop=205.151.222.251
这与leftnexthop=的解释相同,但适用于右侧目标。
- keyingtries=0
此选项指定应在(重新)密钥协商中尝试的次数(整数)。建议默认值 0(永远重试)。
- auth=ah
此选项指定是否应使用 AH(身份验证标头)单独进行身份验证,还是应将其作为 ESP - 封装安全有效负载服务的一部分包含在内。当 IP 标头暴露时,这更可取,以防止中间人攻击。
- auto=start
此选项指定是否应在 IPSEC 启动时执行自动启动操作。
 |
此配置中任何位置的数据不匹配ipsec.conf都将导致 FreeS/WAN 失败并记录各种错误消息。 |