商业源码 如何在 Windows Server 2003 中配置 IPSec 隧道
IPSec 基于端对端的安全模式,在源 IP 和目标 IP 地址之间建立信任和安全性。考虑认为 IP 地址本身没有必要具有标识,但 IP 地址后面的系统必须有一个通过身份验证程序验证过的标识。只有发送和接收的计算机需要知道通讯是安全的。每台计算机都假定进行通讯的媒体不安全,因此在各自的终端上实施安全设置。除非两台计算机之间正在进行防火墙类型的数据包筛选或网络地址转换,否则仅从源向目标路由数据的计算机不要求支持 IPSec。该模式允许为下列企业方案成功部署 IPSec: 局域网 (LAN):客户端/服务器和对等网络 广域网 (WAN):路由器到路由器和网关到网关 远程访问:拨号客户机和从专用网络访问 Internet 通常,两端都需要 IPSec 配置(称为 IPSec 策略)来设置选项与安全设置,以允许两个系统对如何保护它们之间的通讯达成协议。Microsoft® Windows® 2000、Windows XP 和 Windows Server 2003 家族实施 IPSec 是基于“Internet 工程任务组 (IETF)”IPSec 工作组开发的业界标准。IPSec 相关服务部分是由 Microsoft 与 Cisco Systems, Inc 共同开发的。 IPSec 协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议 Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议Internet Key Exchange (IKE)和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。
ipsec主模式可以用nat-t。***客户端和服务器都支持IPSecNAT-T。客户端在内网通过NAT访问外部***服务器。使用L2TP/IPSec建立***。客户和服务器在协商的过程中会发现他们的通路之间存在NAT,而使用IPSecNAT-T通信。
由于客户安全需要,对其内部业务服务器进行保护,遂使用ikev2 ipsec ***接入其内部网络,认证过程采用freeradius,本文章介绍ipsec配置过程,下篇文章介绍freeradius安装配置。
1、更新系统
apt-get update
2、安装所需软件
apt-get install -y language-pack-en strongswan libstrongswan-standard-plugins strongswan-libcharon libcharon-standard-plugins libcharon-extra-plugins moreutils iptables-persistent
3、安装cerbot
1)
apt-get install certbot
2)
mkdir -p /etc/letsencrypt
echo 'rsa-key-size = 4096
pre-hook = /sbin/iptables -I INPUT -p tcp --dport 80 -j ACCEPT
post-hook = /sbin/iptables -D INPUT -p tcp --dport 80 -j ACCEPT
renew-hook = /usr/sbin/ipsec reload && /usr/sbin/ipsec secrets
' > /etc/letsencrypt/cliini
3)
certbot certonly --non-interactive --agree-tos --standalone --preferred-challenges http --email your@emailcom -d yourdomaincom
注意这里的邮箱地址和域名要更改为自己的实际地址
4)
ln -f -s /etc/letsencrypt/live/YOURDOMAINCOM/certpem /etc/ipsecd/certs/certpem
ln -f -s /etc/letsencrypt/live/YOURDOMAINCOM/privkeypem /etc/ipsecd/private/privkeypem
ln -f -s /etc/letsencrypt/live/YOURDOMAINCOM/chainpem /etc/ipsecd/cacerts/chainpem
5)
echo "/etc/letsencrypt/archive/YOURDOMAINCOM/ r,
" >> /etc/apparmord/local/usrlibipseccharon
6)
aa-status --enabled && invoke-rcd apparmor reload
0条评论