Редактирование конфигурационных файлов

Редактирование конфигурационных файлов

FreeS/WAN использует два конфигурационных файла: /etc/ipsec.secrets и /etc/ipsec.conf. Эти файлы предназначены для различных целей. В файле /etc/ipsec.secrets содержатся ключи кодирования, а в файле /etc/ipsec.conf — опции общего назначения.

Создание ключей

Как было сказано ранее, при создании FreeS/WAN должен быть создан файл /etc/ipsec.secrets, содержащий ключи кодирования. Если этот файл не был создан или если ключи в нем отсутствуют, сгенерируйте ключи с помощью команды

# ipsec rsasigkey 128 > /root/rsa.key

Эта команда создает 128-битовый ключ и помещает его в файл /root/rsa.key. Указав значение параметра, отличающееся от приведенного в данном примере, вы можете сгенерировать ключ другой длины. Данные, полученные в результате выполнения этой команды, нельзя непосредственно использовать. В начало файла надо включить следующую строку:

: RSA {

Перед и после RSA обязательно должны быть пробелы. Кроме того, в конец файла надо включить как минимум один пробел, указав за ним закрывающую фигурную скобку (}). Полученный результат надо скопировать в файл /etc/ipsec.secrets. Описанные выше действия надо выполнить на обоих VPN-маршрутизаторах, реализованных с помощью FreeS/WAN.

В составе данных, сгенерированных посредством ipsec rsasigkey, содержится закомментированная строка, начинающаяся с #pubkey=. В ней указан открытый, или общий, ключ. Этот ключ надо передать системе, с которой должна взаимодействовать данная система.

Установка опций в файле ipsec.conf

В большинстве случаев при инсталляции FreeS/WAN создается файл /etc/ipsec.conf. Установки по умолчанию, как правило, не обеспечивают выполнение сервером требуемых функций, но содержимое этого файла можно использовать как базу для дальнейшей настройки системы. В файле /etc/ipsec.conf содержатся три основных раздела: config setup, conn %default и conn remotename.

Установка локальных опций

В разделе config setup содержатся локальные опции. В файле /etc/ipsec.conf, создаваемом по умолчанию, этот раздел имеет следующий вид:

config setup

# THIS SETTING MUST BE CORRECT or almost nothing will work;

# %defaultroute is okay for most simple cases.

interfaces=%defaultroute

# Debug-logging controls: "none" for (almost) none, "all"

 for lots.

klipsdebug=none

plutodebug=none

# Use auto= parameters in conn descriptions to control

 startup actions.

plutoload=%search

plutostart=%search

# Close down old connection when new one using same ID shows

 up.

uniqueids=yes

Наиболее важный компонент данного раздела — опция interfaces, которая сообщает FreeS/WAN о том, какие интерфейсы следует использовать для поддержки VPN- соединений. Значение по умолчанию %defaultroute указывает на то, что FreeS/WAN должен использовать маршрут по умолчанию. Однако вы можете указать конкретные интерфейсы. В следующем примере опция interfaces задает использование интерфейсов eth0 и ppp1:

interfaces="ipsec0=eth0 ipsec1=ppp1"

Опции klipsdebug и plutodebug задают протоколирование функций KLIPS (Kernel IP Security — IP-защита ядра) и демона Pluto. Демон Pluto является частью пакета FreeS/WAN и поддерживает обмен ключами. Если в процессе работы возникают проблемы, вам надо задать для этих опций значение all.

Pluto может загружать соединения в память или автоматически запускать их при запуске FreeS/WAN. Опции plutoload и plutostart показывают, над какими соединениями надо выполнять соответствующие действия. В большинстве случаев можно принять значения данных опций по умолчанию, но, возможно, вы захотите указать лишь некоторые соединения; для этого надо задать их имена.

Установка опций, используемых по умолчанию для описания соединений

Отдельные соединения описываются в разделах, которые начинаются с ключевого слова conn. Наряду с реальными соединениями FreeS/WAN поддерживает соединение %default. В разделе, соответствующем этому соединению, обычно содержатся следующие опции.

• keyingtries. Если соединение установить не удалось, FreeS/WAN предпримет новую попытку. Значение 0 данной опции указывает на то, что попытки установить соединение должны продолжаться бесконечно. Если вы хотите ограничить число попыток, укажите в качестве значения опции keyingtries конкретное число.

• authby. По умолчанию применяется метод аутентификации, задаваемый значением authby=rsasig. Согласно этому методу, для аутентификации должны использоваться ключи RSA. Существует другой способ аутентификации, но в данной главе он рассматриваться не будет.

Помимо приведенных выше опций, в данный раздел можно включить опции, которые будут рассматриваться в следующем разделе. Если вы обнаружите, что одна и та же опция содержится в описании нескольких соединений, перенесите ее в раздел по умолчанию. При этом снижается вероятность появления ошибок, а размеры конфигурационного файла уменьшаются.

Установка удаленных опций, ориентированных на конкретные системы

Каждое соединение требует настройки, для выполнения которой надо изменить содержимое соответствующего раздела conn. За ключевым словом conn следует имя соединения, а затем — опции. В начале строки, содержащей опцию, должен стоять хотя бы один пробел. Многие из опций, включаемых в раздел conn, определяют сетевые интерфейсы. Рассмотрим рис. 26.6, на котором изображена типичная сеть, созданная с помощью FreeS/WAN. VPN-маршрутизатор, расположенный сверху, считается "левым". Вам необходимо указать FreeS/WAN IP-адреса, используемые в данной конфигурации. Для этого используются следующие опции.

• left subnet. Локальная подсеть, к которой подключен маршрутизатор FreeS/WAN. В примере, показанном на рис. 26.6, это сеть 172.16.0.0/16.

• left. Адрес, связанный с внешним интерфейсом сервера VPN. В большинстве случаев для этой опции задается значение %defaultroute, но вы можете указать конкретный IP-адрес. На рис. 26.6 это адрес 10.0.0.1.

• leftnexthop. IP-адрес обычного маршрутизатора, к которому подключена система VPN. В примере, показанном на рис. 26.6, используется адрес 10.0.0.10. Подобная информация необходима, так как KLIPS не применяет обычные средства маршрутизации, реализованные в ядре, а передает данные непосредственно следующему маршрутизатору.

• leftfirewall. Если подсеть, обслуживаемая VPN-маршрутизатором, содержит IP-адреса, которые не маршрутизируются обычными средствами (например, если она использует средства NAT), либо если VPN-маршрутизатор выполняет также функции брандмауэра, необходимо задать leftfirewall=yes.

• rightnexthop. В качестве значения этой опции задается IP-адрес обычного маршрутизатора, который доставляет пакеты удаленной сети.

• right. Данная опция указывает на внешний сетевой интерфейс удаленного VPN-маршрутизатора. Подобно left, вы можете принять значение этой опции по умолчанию.

• rightsubnet. Блок IP-адресов удаленной подсети. В примере, показанном на рис. 26.6, это сеть 192.168.1.0/24.

• leftid. Идентификатор "левой" системы. Это может быть IP-адрес, имя домена или имя узла, которому предшествует символ @ (например, @vpn.threeroomco.com). Имя узла, перед которым указан символ @, означает, что система не должна пытаться преобразовать имя в IP-адрес.

• rightid. Значение данной опции идентифицирует "правую" часть VPN-соединения.

• leftrsasigkey. Открытый RSA-ключ из файла /etc/ipsec.secrets на "левой" стороне VPN-соединения.

• rightrsasigkey. Открытый RSA-ключ из файла /etc/ipsec.secrets на "правой" стороне VPN-соединения.

• auto. Эта опция совместно с опциями plutoload и plutostart определяет, какие соединения должны загружаться и устанавливаться при запуске FreeS/WAN. Если установлены значения plutoload=%search и auto=add, соединения, соответствующие конфигурации, загружаются, а если заданы значения plutostart= %search и auto=start, соединения устанавливаются.

Рис. 26.6. Для определения конфигурации FreeS/WAN надо указать адреса, которые используются при формировании VPN

Не имеет значения, какую из систем вы назовете "левой", а какую "правой". Соединению следует присвоить имя, которое идентифицировало бы обе его стороны. Например, если одна из сетей расположена в Бостоне, а другая в Цинциннати, вы можете использовать имя boscinci, а затем называть систему, находящуюся в Бостоне, "левой", а систему, расположенную в Цинциннати, "правой". Одна и та же конфигурация используется на обеих сторонах соединения; FreeS/WAN выясняет, на какой стороне он находится, анализируя существующие сетевые соединения.

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг:

Редактирование

Из книги автора

Редактирование Щелкнув мышкой по любой фотографии, мы перейдем непосредственно в режим просмотра и редактирования. Именно здесь доступна информация о названии файла и времени съемки. При желании любому фото можно дать оригинальное название, и вместо непонятного


Редактирование

Из книги автора

Редактирование Что делать с заглавной страницей? Перво-наперво – наполнить содержанием: добавить текст и фотографии, приправив по вкусу расписанием встреч и слайдами с презентациями. Целям созидания служит кнопка «Редактировать страницу» в правом верхнем углу экрана.


Редактирование конфигурационных сценариев

Из книги автора

Редактирование конфигурационных сценариев Программы с графическим интерфейсом удобны для тех пользователей, которые не имеют достаточного опыта работы с PPP-соединениями, но в некоторых случаях эти инструменты оказываются непригодными. Например, если вы хотите, чтобы


Редактирование конфигурационных файлов сервера

Из книги автора

Редактирование конфигурационных файлов сервера Основным конфигурационным файлом сервера Kerberos является файл /etc/krb5.conf. Этот файл состоит из нескольких разделов; роль заголовка раздела выполняет ключевое слово, помещенное в квадратные скобки. Строки, следующие до


Редактирование конфигурационных файлов

Из книги автора

Редактирование конфигурационных файлов FreeS/WAN использует два конфигурационных файла: /etc/ipsec.secrets и /etc/ipsec.conf. Эти файлы предназначены для различных целей. В файле /etc/ipsec.secrets содержатся ключи кодирования, а в файле /etc/ipsec.conf — опции общего назначения.Создание ключейКак было


13.2.1 Расположение конфигурационных файлов

Из книги автора

13.2.1 Расположение конфигурационных файлов Отметим сразу, что все приводимые ниже команды можно выполнять из командной строки, но тогда придется повторять эти операции при каждом перезапуске компьютера. Поэтому может быть удобнее записать их в один из инициализационных


15.3 Редактирование конфигурационных файлов

Из книги автора

15.3 Редактирование конфигурационных файлов Важнейшим примером применения вышеописанной технологии «прикидывания» рутом является редактирование конфигурационных файлов системы. Я уже говорил, что все настройки системы и всех приложений в Linux хранятся в виде текстовых


Редактирование

Из книги автора

Редактирование Интересная особенность: менять порядок фотографий в альбоме можно, даже не входя в режим редактирования – достаточно просто перетянуть их на новое место мышкой прямо в бразуере.А вот для других операций (удаление, перемещение между альбомами) вам нужно


Редактирование

Из книги автора

Редактирование Давайте переведем взгляд на последнюю группу вкладки Главная Редактирование (рис. 1.42). Рис. 1.42. Группа Редактирование вкладки Главная Здесь «живут» кнопки, которые помогают быстро найти в тексте нужное слово и при необходимости заменить его.Кнопку Найти


Редактирование размера

Из книги автора

Редактирование размера Команда DIMEDIT обеспечивает редактирование размера и вызывается щелчком на пиктограмме Dimension Edit на панели инструментов Dimension.Запросы команды DIMEDIT: Enter type of dimension editing [Home/New/Rotate/Oblique] <Home>: – выполнить операцию редактирования размеров, указав один из


Редактирование ID3-тегов

Из книги автора

Редактирование ID3-тегов Пользователи редко задумываются над необходимостью правильного заполнения информационных тегов в музыкальных файлах. Однако с ростом коллекции найти что-либо становится все труднее. Можно рассортировать файлы вручную, переименовывая и копируя


Редактирование тел

Из книги автора

Редактирование тел Для редактирования трехмерных тел предназначена команда SOLIDEDIT. Она имеет несколько уровней параметров. Рассмотрим три основные группы.• Параметры группы Face позволяют редактировать грани твердотельного объекта. Выбрав один из параметров этой


Редактирование графических файлов Nero PhotoSnap

Из книги автора

Редактирование графических файлов Nero PhotoSnap Редактирование, которое можно выполнять в Nero PhotoSnap, основано на применении набора фильтров. Для большинства фильтров предусмотрена возможность индивидуальной настройки (всего в программе около 30 фильтров). В редакторе можно


Редактирование листа

Из книги автора

Редактирование листа Щелкните правой кнопкой мыши на корешке редактируемой вкладки. Откроется контекстное меню (рис. 8.11). Рис. 8.11. Контекстное меню вкладки листаДанное меню содержит следующие параметры.• New layout (Новый лист) – создает вкладку нового листа на основе


5.4. Редактирование параметров

Из книги автора

5.4. Редактирование параметров Для изменения значения параметра нужно выбрать команду Правка | Изменить, но могу поспорить, что вам больше понравится дважды щелкать на нужном параметре, чем выбирать команду Изменить из меню Правка. В окне редактирования (рис. П4.6) вы