Сетевые средства Linux

Смит Родерик В.

Установка опций, используемых по умолчанию для описания соединений

Отдельные соединения описываются в разделах, которые начинаются с ключевого слова

conn

. Наряду с реальными соединениями FreeS/WAN поддерживает соединение

%default

. В разделе, соответствующем этому соединению, обычно содержатся следующие опции.

• 

keyingtries

. Если соединение установить не удалось, FreeS/WAN предпримет новую попытку. Значение 0 данной опции указывает на то, что попытки установить соединение должны продолжаться бесконечно. Если вы хотите ограничить число попыток, укажите

в качестве значения опции

keyingtries

конкретное число.

• 

authby

. По умолчанию применяется метод аутентификации, задаваемый значением

authby=rsasig

. Согласно этому методу, для аутентификации должны использоваться ключи RSA. Существует другой способ аутентификации, но в данной главе он рассматриваться не будет.

Помимо приведенных выше опций, в данный раздел можно включить опции, которые будут рассматриваться в следующем разделе. Если вы обнаружите, что одна и та же опция содержится в описании нескольких соединений, перенесите ее в раздел по умолчанию. При этом снижается вероятность появления ошибок, а размеры конфигурационного файла уменьшаются.

Установка удаленных опций, ориентированных на конкретные системы

Каждое соединение требует настройки, для выполнения которой надо изменить содержимое соответствующего раздела

conn

. За ключевым словом

conn

следует имя соединения, а затем — опции. В начале строки, содержащей опцию, должен стоять хотя бы один пробел. Многие из опций, включаемых в раздел

conn

, определяют сетевые интерфейсы. Рассмотрим рис. 26.6, на котором изображена типичная сеть, созданная с помощью FreeS/WAN. VPN-маршрутизатор, расположенный сверху, считается "левым". Вам необходимо указать FreeS/WAN IP-адреса, используемые в данной конфигурации. Для этого используются следующие опции.

• 

left subnet

. Локальная подсеть, к которой подключен маршрутизатор FreeS/WAN. В примере, показанном на рис. 26.6, это сеть 172.16.0.0/16.

• 

left

. Адрес, связанный с внешним интерфейсом сервера VPN. В большинстве случаев для этой опции задается значение %defaultroute, но вы можете указать конкретный IP-адрес. На рис. 26.6 это адрес 10.0.0.1.

• 

leftnexthop

. IP-адрес обычного маршрутизатора, к которому подключена система VPN. В примере, показанном на рис. 26.6, используется адрес 10.0.0.10. Подобная информация необходима, так как KLIPS не применяет обычные средства маршрутизации, реализованные в ядре, а передает данные непосредственно следующему маршрутизатору.

• 

leftfirewall

. Если подсеть, обслуживаемая VPN-маршрутизатором, содержит IP-адреса, которые не маршрутизируются обычными средствами (например, если она использует средства NAT), либо если VPN-маршрутизатор выполняет также функции брандмауэра, необходимо задать

leftfirewall=yes

.

• 

rightnexthop

. В качестве значения этой опции задается IP-адрес обычного маршрутизатора, который доставляет пакеты удаленной сети.

• 

right

. Данная опция указывает на внешний сетевой интерфейс удаленного VPN-маршрутизатора. Подобно

left

, вы можете принять значение этой опции по умолчанию.

• 

rightsubnet

. Блок IP-адресов удаленной подсети. В примере, показанном на рис. 26.6, это сеть 192.168.1.0/24.

• 

leftid

.

Идентификатор "левой" системы. Это может быть IP-адрес, имя домена или имя узла, которому предшествует символ

@

(например,

@vpn.threeroomco.com

). Имя узла, перед которым указан символ

@

, означает, что система не должна пытаться преобразовать имя в IP-адрес.

• 

rightid

. Значение данной опции идентифицирует "правую" часть VPN-соединения.

• 

leftrsasigkey

. Открытый RSA-ключ из файла

/etc/ipsec.secrets

на "левой" стороне VPN-соединения.

• 

rightrsasigkey

. Открытый RSA-ключ из файла

/etc/ipsec.secrets

на "правой" стороне VPN-соединения.

• 

auto

. Эта опция совместно с опциями

plutoload

и

plutostart

определяет, какие соединения должны загружаться и устанавливаться при запуске FreeS/WAN. Если установлены значения

plutoload=%search

и

auto=add

, соединения, соответствующие конфигурации, загружаются, а если заданы значения

plutostart= %search

и

auto=start

, соединения устанавливаются.

Рис. 26.6. Для определения конфигурации FreeS/WAN надо указать адреса, которые используются при формировании VPN

Не имеет значения, какую из систем вы назовете "левой", а какую "правой". Соединению следует присвоить имя, которое идентифицировало бы обе его стороны. Например, если одна из сетей расположена в Бостоне, а другая в Цинциннати, вы можете использовать имя

boscinci

, а затем называть систему, находящуюся в Бостоне, "левой", а систему, расположенную в Цинциннати, "правой". Одна и та же конфигурация используется на обеих сторонах соединения; FreeS/WAN выясняет, на какой стороне он находится, анализируя существующие сетевые соединения.

Установление соединения

Соединение между двумя маршрутизаторами FreeS/WAN устанавливается следующим образом: на одной стороне программа

ipsec

запускается в режиме демона, а на другой стороне та же программа используется для инициализации соединения. Если настройка выполнена корректно, то соединение должно устанавливаться автоматически, как только программа

ipsec

начнет выполняться на обеих сторонах. Не имеет значения, какая из систем использует программу в режиме демона; в отличие от PPTP, FreeS/WAN не различает клиентскую и серверную системы.

Для того чтобы запустить программу

ipsec

в режиме демона, надо выполнить команду

# ipsec setup start

После выполнения этой команды система, в зависимости от значений опций

plutoload

,

plutostart

и

auto

, загружает соединение, ожидает установления соединения или инициирует соединение. Если при настройке системы вы указали на обеих сторонах соединения опцию

auto=add

, можете запустить сервер на одной стороне и ожидать запроса на установление соединения, переданного другой системой. Чтобы запрос был передан, надо выполнить команду