如何在CentOS 6 下安裝VPN SERVER(l2tp over ipsec with pre-shared key)

如何在CentOS 6 下安裝VPN SERVER(l2tp over ipsec with pre-shared key)

1. 安裝openswan, ppp , libpcap-devel
直接用CentOS裏面即可

2. 安裝xl2tpd(1.2.8)(http://www.xelerance.com/services/software/xl2tpd/)
解開後進入該目錄,執行
make
此時已經可以看到xl2tpd這個檔案了
cp xl2tpd /usr/local/sbin/
mkdir /etc/xl2tpd
cp examples/xl2tpd.conf /etc/xl2tpd/
cp examples/ppp-options.xl2tpd /etc/ppp/options.xl2tpd (這是給以下ppp使用的 sample)

3. 安裝rp-l2tpd (彌補xl2tpd 1.2.4 無法完整編譯)
http://sourceforge.net/projects/rp-l2tp/
下載後解開,進入該目錄,後執行
./configure
make
cp handlers/l2tp-control /usr/local/sbin/
mkdir /var/run/xl2tpd
ln -s /usr/local/sbin/l2tp-control /var/run/xl2tpd/l2tp-control

4. xl2tpd 設定
修改/etc/xl2tpd/xl2tpd.conf
ip range = 您希望對方可以得到哪些ip
local ip = server 對內ip
ex:
[lns default]
ip range = 192.168.0.11-192.168.0.13
local ip = 192.168.0.1
require chap = yes
refuse pap = yes
require authentication = yes
name = LinuxVPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes

5. 修改 /etc/ppp/options.xl2tpd
ms-dns = 內部ms dns的ip
ex:
ipcp-accept-local
ipcp-accept-remote
ms-dns 192.168.0.2
noccp
auth
crtscts
idle 1800
mtu 1410
mru 1410
defaultroute
debug
lock
proxyarp
connect-delay 5000

6. ipsec 設定(預先共用金鑰)

6.1 設定 psk (pre-shared-key)
vi /etc/ipsec.d/william.secrets
###############################
%any: PSK “your shared key”
server_ip: PSK “your shared key”
###############################

其中 server_ip 是您的server 對外ip,
“your shared key”是你的共用金鑰

6.2 vi /etc/ipsec.conf
#############################################
version 2.0 # conforms to second version of ipsec.conf specification

# basic configuration
config setup
# Debug-logging controls: “none” for (almost) none, “all” for lots.
# klipsdebug=none
# plutodebug=”control parsing”
# For Red Hat Enterprise Linux and Fedora, leave protostack=netkey
protostack=netkey
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
# Enable this if you see “failed to find any available worker”
nhelpers=0

#You may put your configuration (.conf) file in the “/etc/ipsec.d/” and uncomment this.
#include /etc/ipsec.d/*.conf
conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT

conn L2TP-PSK-noNAT
authby=secret
pfs=no
auto=add
keyingtries=3
rekey=no
ikelifetime=8h
keylife=1h
type=transport
left=<你的對外ip>
leftprotoport=17/1701
right=%any
rightprotoport=17/%any

############################################
7. ppp 設定
vi /etc/ppp/chap-secrets
加上
william * test *

其中william 是帳號, test是密碼

8. 修改 /etc/rc.local , 加上

8.1 開啟nat,底下192.168.0.0是內部ip範圍(eth1是您的對外網卡)
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j MASQUERADE

8.2 允許ip_forward
echo “1” > /proc/sys/net/ipv4/ip_forward

8.3 確認server是否自動啟動, 或是加在/etc/rc.local
/etc/rc.d/init.d/ipsec start
/usr/local/sbin/xl2tpd -D &

9. 重開機(reboot),確認是否完備

ps.
1.要驗證ipsec 請執行
ipsec verify
要記得看log,有時候會遇到不預期的情形,此時就可以看log解決
/var/log/secure
/var/log/message
2. 若還有問題,請嘗試以下設定
vi /etc/sysctl.conf
#########################################################
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.conf.all.log_martians = 0
net.ipv4.conf.default.log_martians = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.icmp_ignore_bogus_error_responses = 1
########################################################

測試環境
linux CentOS 6
kernel 2.6.32
—————————–
windows xp client

(一) 新增連線

1. 開始->設定->網路連線->新增連線精靈

2. 選擇連線到公司網路(使用指定撥號或是vpn)

3. 選擇虛擬私人網路連線

4. 輸入名稱(可以隨意選)

5. 輸入vpn server IP

(二) 修改設定

1. 找出此VPN連線的TCP/IP設定, 選進階設定, 拿掉”使用遠端網路的預設匣道”

2. 找出”預先共用金鑰”,然後輸入PSK(pre-shared key),請看上面步驟6的金鑰密碼
3. 若是xp, 請取消勾選”要求資料加密(如果沒有加密就中斷連線)”

這樣就可以了

日期 2011.07.18
william http://fromtw.blogspot.com

藍牙罩門UUID

關於藍芽SDP UUID解釋
需要到 www.bluetooth.org  裡面尋找有關 Service Discovery Protocol訊息

https://www.bluetooth.org/Technical/AssignedNumbers/service_discovery.htm

裡面提到 UUID分成BASE UUID 128bits 與 SHORT UUID(32bits, 16bits)

BASE UUID 格式如下:
00000000-0000-1000-8000-00805F9B34FB

SHORT UUID 再分成 UUID32(2的32次方) 與 UUID16(2的16次方)

UUID32 、UUID16 都是短款的格式

為了相容以往舊款 SDP UUI D格式
在BASE UUID前32bits即是UUID32 , 接下來16bits即UUID16

因此重看BASE UUID:
00000000-0000-1000-8000-00805F9B34FB
桃紅色加上綠色為UUID32, 綠色為UUID16

接下來我們想要使用程式註冊SPP, 透過serial port連線,
根據 www.bluetooth.org 的規範, 須將UUID改成
00001101-0000-1000-8000-00805F9B34FB

檔案傳輸FileZilla的一項功能

有些中小企業,員工與外界作ftp連線的時候
通常都是各自安裝ftp軟體, 然後連線.
但是站台一多,就顯得不好管理.
因此我們可以將預設站台放到固定一個目錄,
讓大家共用.
新版filezilla(3.x以後), 站台存在一個叫做sitemanager.xml的文件
將該文件改成fzdefaults.xml, 與filezilla.exe程式放在同一目錄.
如此一來,只要所有人統一遠端執行此filezilla.exe, 即可共用站台.

ps. 這有安全的風險.

交談式shell script的應用

有時候寫一些linux上的script, 該script需要執行某些程式,
然後這些程式需要我們需要回答問題, 若要做到無人值守的功能,
其中一個方式就是改用except 的方式
長得很像這樣
———– demo.sh ————–
#!/usr/bin/except
spawan “要執行的程式”
expect “該程式的問句”
send “回答問題的答案”
————————————

原本應該這樣
———— demo.sh ————–
#!/bin/sh
“要執行的程式”
exit 0
————————————

 

簡易的網站綁架方式

前一陣子工作上的電腦受到流氓網站綁架網頁(http://www.kk4000.cn/).
試了無數種方式都沒辦法解決,這些超強防毒&掃木馬的軟體為什麼都無法解決呢?
原因在於:電腦並沒有被植入惡意軟體,當然找不出來了.

真是見鬼了…

後來試了一個很簡單的方式(這方式早就有人發表,但我一直不相信怎麼這麼簡單) :
刪除桌面上所有能啟用IE相關的捷徑. 然後重新拉IE連結即可.
我照著做果然成功了….

後來用ultraedit編輯該有問題的捷徑檔案, 發現裡面設定一個流氓網站的連結,難怪永遠無法解決…

這說明了一件事情:
這些防毒,除掉木馬的軟體, 目標只在除掉有害的軟體,但是卻忽略了這麼簡單滿天過海手法(應該是效率考量,才不列入特徵比對吧)

 

Linux 整合AD登入認證

公司ERP(tiptop) 使用 linux 系統(RHEL5)
因此登入的時候若能整合AD
將是再好不過了.
初期網路上找一找,很快就能使用AD帳號登入
http://www.linuxmail.info/active-directory-linux/

但是若公司有多個網域怎麼辦呢?
這個我試了很多次都失敗
後來將samba升級成3.5.x,就可以完成了.
以下是簡單步驟

1. 網域須互相信任(互相信任時,須提供共用帳號與密碼)
2. samba升級成3.5.x
3. 在linux上使用上述互相信任的帳號,執行加入網域指令
net rpc join  -U <信任帳號>
net ads join  -U <信任帳號>
4. 重開winbind
5. 檢查是否成功
getent passwd
若出現多網域使用者訊息,即代表成功.
6. 開心登入囉, 登入時帳號格式:  “domain alias””account”
ex:
yahoouserwilliam

ps. 重點在於rhel 5.5 的samba只能更新到3.0.x, 必須另外找方式升級到3.5.x
我的環境:
rhel 5.5
samba 3.5.x


後記

當這樣做的時候,可能會造成原本passwd上面帳號認證的錯誤
請修改/etc/pam.d/system-auth
將uid500改成passwd上最大的uid號碼即可

1 ... 53 54 55 56