使用OpenSWAN设置VPN服务器

如果您想设置VPN，你没有必要购买昂贵的VPN设备，或者Windows Server 2003。下面我将告诉你如何使用OpenSWAN设置基于Linux的VPN。

Linux几乎可以成为任何你打算为机构内用户提供的任何网络服务的平台。您可以用它来实现文件和打印机共享，或者用做网络服务器等等。

企业中最常用的网络服务就移动用户的远程访问。Linux能够满足类似的任何需求；你所要做的只是使用OpenSWAN建立VPN服务器。以下是它的工作原理。

什么是OpenSWAN?

OpenSWAN是一种用于Linux操作系统的IPSec开源运用; 它是一种FreeS/WAN项目的代码分叉，最初由一群在此类项目策略中遇到挫折的开发人员所发明。OpenSWAN 毫无疑问是最容易使用的Linux VPN解决方案；不过这并不是说其他的解决方案就象噩梦一样可怕。还好，这篇文章概括的介绍了一个非常简单的设置和运行基于Linux的VPN服务器的方法。

安装OpenSWAN

尽管我经常推荐您用自己喜欢的方法进行安装，但是我相信从RPM进行安装是最好的选择，因为RPM带有将要进行安装的系统所需要的补丁。注：在Fedora Core 5及以后版本中，你无需为l2tp内核打补丁。下载以下软件：

◆OpenSWAN
◆OpenSWAN Docs
◆l2tpd
◆l2tpd Legacy PTY 补丁
◆l2tpd SysV PTY 补丁
◆l2tpd 启动文件

创建一个新的目录(我们称其为vpnsource)并将所有下载的文件放在这个目录下。在你开始安装文件之前，请先确认之前没有安装过OpenSWAN。执行以下命令：

rpm -qa|grep openswan

如果上面的命令执行以后有所反馈，那么就没有安装过OpenSWAN。然后运行以下命令：

rpm -qa|grep ppp

以确保系统中安装有PPP。几乎所有的发行版中都安装有完整的PPP，因此这应该没有什么问题。

如果您对OpenSWAN进行的RPM询问返回信息说您已经安装了OpenSWAN，那么需要删除它。你可以通过以下命令完成：

rpm -e openswan

现在我们将开始安装软件包。在保存文件的目录下，运行以下命令：

rpm -ivhopenswan-XXX.rpm (where XXX is the release number)
rpm -ivhopenswan-doc-XXX.rpm (where XXX is the release number)

OpenSWAN的安装中伴随着一个简单的IPSec配置文件。我们将使用我们自己的信息对其进行覆盖，因此需要用以下命令首先进行备份:

cp /etc/ipsec.conf /etc/ipsec.conf_OLD

现在在你惯用的文本编辑器中打开/etc/ipsec.conf 文件，删除所有信息然后贴入以下代码：

version 2.0
config setup
     interfaces=%defaultroute
     klipsdebug=none
     plutodebug=none
     overridemtu=1410
     nat_traversal=yes
     virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16
conn %default
     keyingtries=3
     compress=yes
     disablearrivalcheck=no
     authby=secret
     type=tunnel
     keyexchange=ike
ikelifetime=240m
     keylife=60m
conn roadwarrior-net
     leftsubnet=192.168.0.0/16
     also=roadwarrior
connroadwarrior-all
     leftsubnet=0.0.0.0/0
     also=roadwarrior
conn roadwarrior-l2tp
     leftprotoport=17/0
     rightprotoport=17/1701
     also=roadwarrior
conn roadwarrior-l2tp-updatedwin
     leftprotoport=17/1701
     rightprotoport=17/1701
     also=roadwarrior
connroadwarrior
     pfs=no
     left=XXX.XXX.XXX.XXX
     leftnexthop=YYY.YYY.YYY.YYY
     right=%any
     rightsubnet=vhost:%no,%priv
     auto=add
#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf

备注:This configuration file was cobbled together from various open sources. (这一过程中不会造成任何伤害)。使用外部IP地址替换XXX.XXX.XXX.XXX；同样，用默认网关地址替代YYY.YYY.YYY.YYY。

现在，打开/etc/ipsec.secrets 然后加入以下命令行：

150.150.150.150 %any: PSK "this_is_your_psk_key_phrase"将150.150.150.150 变更为外部IP地址。

如果您想在互联网上的任何地址访问网络，保持%any的完整。出于安全原因，可以考虑列出进行连接的设备的地址。

确保PSK密钥长度足够。这是串用户在进行访问时必须要输入的；越长越安全。