Linux VPN Masquerade

Source: http://www.impsec.org/linux/masquerade/ip_masq_vpn.html


IP Masquerade on ominaisuus Linux -ytimen, jonka avulla voit jakaa turvallisen pääsyn internetiin. Jos sinulla on vain yksi yhteys internetiin, onko dial-up puhelinlinja, ISDN, DSL kaapelimodeemi, tai jotain muuta, Linux-pohjainen IP Masquerade palomuurin avulla voit jakaa, että pääsy, joka mahdollistaa niin monta tietokoneet kuin haluat lähiverkossa kommunikoida Internetissä samanaikaisesti.

Toimistoa (tai perhe) voi surffata World Wide Web, chat, tee tiedostojen siirrot, pelata pelejä ja etätyötä samanaikaisesti.

VPN Masquerade on osa IP Masquerade, jonka avulla voit käyttää IPSec -pohjainen ja PPTP -pohjaisten VPN asiakkaita takaa yhteinen-yhteys palomuuri.

Tämä käytetään pääasiassa naamioitunut IPSec ja PPTP VPN:

IPSec
Asiakas -.
        | Linux IPSec
PPTP - + -> Masq ja -> Internet -> tai PPTP
Client | palomuuri Server
        |
Muut - +
        |

Mikään muu ohjelmisto tarvitaan naamiaiset VPN.

Sitä voidaan myös käyttää tarjoamaan pääsyn Private Network IPSec tai PPTP-palvelimen takana Linux palomuurin…

IPSec Linux Yksityinen IP
tai PPTP -> Internet -> Masq ja -> PPTP tai IPSec
Client Firewall Server

Voit tehdä tämän sinun tarvitse myös ipportfw port-huolinta Ytimen koodin ja konfigurointityökalu 2.0. xx ytimet tai ipmasqadm apuohjelma 2.2. xx ytimet välittämään alkuperäisen 500/UDP ISAKMP avaimen vaihto ja/tai 1723/tcp PPTP ohjauskanavan liikenteen palvelimelle, ja IPFwd yleinen IP välitetään apuohjelma välittämään alkuperäisen IPsec ESP ja/tai PPTP GRE liikenne sisään palvelimelle. Tiedot ovat saatavilla VPN Masquerade HOWTO — lue sitä.

Jos VPN perustuu tunnelointi PPP over Secure Shell (kuvatulla tavalla VPN mini-HOWTO) sen ratkaisee standardin IP Masquerade koodia, SSH on puhtaasti TCP-protokollaa. Sinun täytyy silti ipportfw tai ipmasqadm jos VPN-palvelin on naamioituneet (palomuurin taakse, on oma-verkon IP-osoite) eikä palomuurin.

Jos käytät Checkpoint SecuRemote VPN kanssa FWZ kapseloitu tunneleita, sinun  ei  voi naamioitua liikennettä. Määritä VPN käyttää puhdasta IPSec protokollia ja mahdollistaa NAT, ja välttää Checkpoint omaa FWZ protokollia. Katso VPN Masquerade HOWTO lisätietoja.


Miksi Haluan Tämän?

Kun VPN Masquerade on määritetty sinun ei enää tarvitse soittaa ISP suoraan VPN (tai liitä VPN omalle kaapelimodeemi), kun haluat käyttää VPN-palvelimen. Tämä tarkoittaa, että kaikki edut Linux jaettu Internet-yhteys on edelleen käytettävissä vaikka käytät VPN käyttää etäverkkoon.

Itse asiassa, jossa sopivilla tiedoston lähiverkossa voit samanaikaisesti käyttää Internetiä ja yksityiset (yrityksen?) Verkkoon (yli VPN) kaikista tietokoneista lähiverkon. Teen tämän joka päivä työskennellessään kotini.

Huomautus W’95/’98 VPN käyttäjiä: Anteeksi, mutta W’95/-98 IP-pino ei helposti tukea IP huolinta. Et voi käyttää W’95/’98 VPN toimimaan VPN reititin lähiverkossa — jokainen W’95/’98 järjestelmä on luotava oma yhteys VPN ellet käytä järjestelmää on käytössä Windows NT tai muusta käyttöjärjestelmästä kykenee IP huolinta VPN-reititin.


Hankkiminen VPN Masquerade Laastari

VPN Masquerade on sisällytetty ydin vapauttaa 2.0.37 ja myöhemmin 2.0.x sarjassa. Laastari on käytettävissä 2.0.36. Laastari voi työskennellä aikaisempien ytimien kanssa, mutta sitä ei ole testattu. Laastarit ovat myös saatavilla ytimien 2.2.5 ja 2.2.16, ja ne voivat työskennellä Aikaisemmilla ytimillä on 2.2.x sarjassa.

Tärkeä huomautus: ota lataa ja soveltaa 2.2.x kfree_skb () vikakorjaus laastari jälkeen kuin mitään versio koko 2.2.x laastari. Tämä korjaa vika, joka voi aiheuttaa kernel panic raskaissa IPSec naamiaiset käyttöä.

Yleinen 2,0. x -sarja ytimet

Jos käytät ytimen aikaisintaan 2.0.37 voit ladata korjaustiedoston:
HTTP Mirror 1 (USA: WA) ]

Jos käytät 2.0.37 tai 2.0.38, on vikakorjaus estää GPFs tietyissä olosuhteissa, kun IPsec naamiaiset on käytössä:
HTTP Mirror 1 (USA: WA) ]

Generic 2.2. x -sarja ytimet

2.2.5 — 2.2.10: [ HTTP Mirror 1 (USA: WA) |HTTP Mirror 4 (AU) | FTP Mirror 1 (USA: UT) | FTP Mirror 2 (EU: NL) ]
2.2.11 — 2.2.12: [ HTTP Mirror 1 (USA: CA) | HTTP Mirror 2 (USA: WA) | HTTP Mirror 3 (AU) | FTP Mirror 1 (USA: UT) | FTP Mirror 2 (EU: NL) ]
2.2.13: [ HTTP Mirror 1 (USA: CA) | HTTP Mirror 2 (USA: WA) | HTTP Mirror 3 (AU) | FTP Mirror 1 (USA: UT) | FTP Mirror 2 (EU: NL) ]
2.2.14: [ HTTP Mirror 1 (USA: CA) | HTTP Mirror 2 (USA: WA) | HTTP Mirror 3 (AU) | FTP Mirror 1 (USA: UT) | FTP Mirror 2 (EU: NL) ]
2.2.15 — 2.2.16: [ HTTP Mirror 1 (USA: WA) | HTTP Mirror 2 (AU) | FTP Mirror 1 (USA: UT) | FTP Mirror 2 (EU: NL) ]
2.2.17: [ HTTP Mirror 1 (USA: WA) | HTTP Mirror 2 (AU) | FTP Mirror 1 (USA: UT) | FTP Mirror 2 (EU: NL) ]
2.2.18 — 2.2.20: [ HTTP Mirror 1 (USA: WA) | HTTP Mirror 2 (EU: EI) | HTTP Mirror 3 (AU) | FTP Mirror 1 (USA: UT) | FTP Mirror 2 (EU:

Minulla ei ole ollut mitään raportteja laastarin kanssa ytimen versiota korkeammat kuin edellä mainittujen, mutta laastari toimii todennäköisesti hyvin. 2.2.x-ytimissä on nyt ylläpitotilassa, ja muutokset ovat enimmäkseen bugikorjauksia, jotka eivät vaikuta naamiaiset osajärjestelmään.

RedHat ja Mandrake 2.2. x -sarja ytimet

RedHat on sisällyttänyt VPN laastari ytimissä 2.2.16-8 ja myöhemmin. Pudota RedHat FTP tai RedHat peilin päällä ja Säästä kauneuspilkku. Huomaa, että sinulla voi olla myös päivittää uuden version RPM samoin.

Jos yrität laastari ydin RedHat tai Mandrake ytimen lähdekoodiin RPM ennen 2.2.16-8, sinun täytyy myös noudattaa seuraavia laastarin jälkeen soveltaa täysimääräistä VPN masq laastari. Tämä korjaa tärkeä epäonnistui kimpale. Soveltaa tätä korjaustiedoston:

cd / usr / src / linux / net / IPv4
zcat  patchfile.gz  | patch -l -p0

2.2.12 ja 2.2.13: [ HTTP Mirror 1 (USA: CA) | HTTP Mirror 2 (USA: WA) | HTTP Mirror 3 (AU) | FTP Mirror 1 (USA: UT) | FTP Mirror 2 (EU: NL)]
2.2.14 kautta 2.2.16-7: [ HTTP Mirror 1 (USA: WA) | HTTP Mirror 2 (AU) | FTP Mirror 1 (USA: UT) | FTP Mirror 2 (EU: NL) ]

Seuraavat laastari tarvitaan RedHat tai Mandrake 2.2.16-ytimen, tai ydin, joka on ollut VS-Masq (Virtual Server) laastari. Tämä sisältää ytimen toimitetaan RedHat 7.0 — jos sinulla on RedHat 7.0 ja käytät ydin sen mukana, sinun  ei  tarvitse tätä laastari.  RedHat 2.2.17-14 päivittää ytimen sisältää tämän korjaustiedoston suosittelen saat että ytimen RPM FTP sivuston sijaan kauneuspilkku ja uudelleenrakentaminen.
Jos monisanainen PPTP virheenkorjaus esittää naamiaiset osoite (maddr) ja 0.0.0.0 on käytössä, tai tcpdump käyttäjän Internet käyttöliittymä näyttää jotain:

08:32:26  0.0.0.0  > 1.2.3.4: ip-proto-50 108 (TTL 63, id 1)

… sinun täytyy soveltaa tätä laastari. Soveltaa tätä korjaustiedoston:

cd / usr / src / linux / net / IPv4
zcat  patchfile.gz  | patch -l -p0

2.2.16: [ HTTP Mirror 1 (USA: WA) | HTTP Mirror 2 (AU) | FTP Mirror 1 (USA: UT) | FTP Mirror 2 (EU: NL) ]

Älä unohda suorittaa ”tehdä modules_install” jälkeen kauneuspilkku ja recompiling.

VPN Masq laastari jätettiin pois ensimmäinen RedHat 2.2.19 ydin RPM ajan puutteen vuoksi. Se tulee olemaan seuraava.

Voit halutessasi ladata pelkkää ytimen lähdekoodi tarrapallon peräisin kernel.org  peilipalvelimelta sijaan.

Bugikorjaus kaikille 2.2.x-sarjan ydin laastareita

Kaikki IPSec masq käyttäjien pitäisi ladata ja soveltaa tätä vikakorjaus laastari ja kääntää ytimen. Tämä korjaustiedosto korjaa vian kutsuessaan kfree_skb(), joka voisi johtaa kernel panic kovassa naamiaiset kuormituksella.

2.2.x: [ HTTP Mirror 1 (USA: WA) | HTTP Mirror 2 (AU) | FTP Mirror 1 (USA: UT) | FTP Mirror 2 (EU: NL) ]

Kiristäminen

cd/usr/src
zcat ip_masq_ipsec-kfree.patch.gz|patch -l -p0

Jos saat virheitä siitä, ettei voi löytää tiedoston laastari, varmista, että/usr/src/linux  on olemassa.

2.4. x -sarja ytimet

Kiitos Brian Kuschak <bkuschak klo yahoo.com> tarjoamiseksi Ytimen koodin PPTP Masquerade alle 2,4 ydin!

2.4.12: [ HTTP Mirror 1 (USA: WA) | HTTP Mirror 2 (EU: EI) | HTTP Peili 3 (AU) ]

2.4.15: [ HTTP Mirror 1 (USA: WA) | HTTP Mirror 2 (EU: EI) | HTTP Peili 3 (AU) ]

2.4.17: [ HTTP Mirror 1 (USA: WA) | HTTP Mirror 2 (EU: EI) | HTTP Peili 3 (AU) ]

2.4.19: [ HTTP Mirror 1 (USA: WA) | HTTP Mirror 2 (EU: EI) | HTTP Peili 3 (AU) ]

Yksinkertaisesti laastari ja ota sitten PPTP naamiaiset vuonna ipfilter osassa, kun konfiguroinnin ytimen.

Ei IPsec laastari on vielä saatavilla.

Minulle on kerrottu, että naamioitunut yhden VPN-asiakas käyttää iptables on melko helppo asentaa, eikä vaadi erityistä laastaria. Tämä voi toimia sekä PPTP ja IPSec.

Seuraavassa on kiitos Joshua Eichorn <jeichorn@JoshuaEichorn.com>. En ole kokeillut sitä itse.

#! / Bin / bash
# Lataa NAT moduuli (tämä vetää kaikki muut).
/ Sbin / modprobe iptable_nat

# NAT-taulukossa (-t nat), Liitä sääntö (-A) jälkeen reititys
# (POSTROUTING) kaikille paketeille menossa ppp0 (-o ppp0), joka sanoo
# Masquerade yhteys (-j MASQUERADE).
/Usr/local/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

# Käynnistä IP huolinta
echo 1>/proc/sys/net/IPv4/ip_forward

Palvelimen naamiaiset PPTP toimii myös oletus naamiaiset koodia. Lisää seuraavia sääntöjä:

PPTP (1723/TCP ja 47/IP):

/Sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1723 -j DNAT --to 192.168.0.5
/Sbin/iptables -t nat -A PREROUTING -i eth1 p 47 -j DNAT --to 192.168.0.5

… missä  192.168.0.5  on paikallinen-verkon IP-osoite PPTP-palvelimeen. Minulla ei ole ollut mitään raportteja koskien IPSec-palvelin naamiaiset.


Tiedostojen lataaminen Lynx: korosta linkkiä, paina ”d” (lataa) ja valitse ”Tallenna levylle”.
Ladata Netscape Navigator: hiiren kakkospainikkeella linkkiä ja valitse ”Save Link As …” — jos klikkaa linkkiä, Navigator taipumus korruptoida paikkatiedostosi.

Varhaisen 2.2.x ytimet voit myös käydä Gordon Chaffee n sivusto 2.2.x PPTP vain Masq laastari.


Määrittäminen VPN Masquerade

Ensimmäinen, sinun pitäisi olla tyytyväinen recompiling ytimen

Toinen, varmista, että sinulla on IP naamioitunut kootaan Ytimen ja toimii oikeinPerustamalla tekeytyvät itsessään ei kuulu tämän asiakirjan, ja siellä on HOWTO jo, että

kuvaa prosessia hyvin yksityiskohtaisesti. Jos sinulla ei ole säännöllistä naamiaiset  toimi kunnolla, älä ota minulta apua —  lue HOWTO ensin. (Olenko soittanut pointtini? 😉
Olen myös kirjoittanut  GUI kääre 2.0. X  ipfwadm komento, joka tekee toimitusjohtaja palomuuri- ja naamiaiset asennus helpompaa.

Kolmas, varmista, että VPN-yhteyden toimii, kun soittaa ISP suoraan VPN-järjestelmän.

Asentaa ja konfiguroida VPN Masquerade, noudata annettuja ohjeita VPN Masquerade HOWTO, saatavilla osoitteessa:
HTML: [ HTTP Mirror 1 (USA: WA) | HTTP Mirror 2 (EU: EI) | HTTP Mirror 3 (AU) | FTP Mirror 1 (USA: UT) | FTP Mirror 2 (EU: NL) ]
PostScript (tulostettava): [ HTTP Mirror 1 (USA: WA) | HTTP Mirror 2 (EU: EI) | HTTP Mirror 3 (AU) | FTP Mirror 1 (USA: UT) | FTP Mirror 2 (EU: NL) ]
PDF: [ HTTP Mirror 1 (USA: WA) | HTTP Mirror 2 (EU:  NO) | HTTP Mirror 3 (AU) | FTP Mirror 1 (USA: UT) | FTP Mirror 2 (EU: NL) ]
SGML source: [ HTTP Mirror 1 (USA: WA) | HTTP Mirror 2 (EU: EI) | HTTP Peili 3 (AU) ]


Nuotit ja Muut Mielenkiintoisiin Kohteisiin

Sinun ei tarvitse VPN Masquerade tukea, jos VPN päätepiste on palomuurin — jos esimerkiksi olet FreeS/WAN tai Linux PPTP Client asennettu palomuurin. Älä käytä VPN Masq laastari, jos näin on. Se ei toimi.

Et  ole  tarvitse ipmasqadm tai ipfwd jos soitat kauko VPN kautta masq yhdyskäytävän. Tarvitset vain niitä, jos paikallinen VPN -palvelin on takana masq yhdyskäytävä.

Riippuen PPTP-palvelimeen voi olla pakko käyttää VPN-reitittimen asetukset, jos useampi kuin yksi naamioituneet järjestelmä haluaa yhdistää tiettyyn PPTP-palvelimeen. PPTP protokolla määrittää vain yksi ohjaus yhteyden asiakkaalta, järjestelmä, ja naamiaiset yhdyskäytävä on asiakkaan niin pitkälle kuin palvelin on kyseessä. PPTP-palvelin toteutukset oikein seuraa erittely ei salli useamman PPTP istunnon perustetaan peitellään yhdyskäytävä. Kokeile ensin, vaikka, kuten jotkut väärä PPTP toteutuksia (kuten Windows NT) eivät salli useiden yhteyksien samaa järjestelmää.

IPsec AH-protokollan (51/ip) sisältää salauksen tarkistussumman, kuten IP-osoitteet IP-otsikossa. Koska naamioitunut muuttaa ne IP-osoitteet ja koska salauksen tarkistussumma ei laskettava uudelleen naamioitunut palomuuri, naamioituneet paketit epäonnistuu tarkistussumman testi ja hylätään, jonka kauko-IPsec yhdyskäytävä. Siksi IPSec VPN-verkkoja, jotka käyttävät AH-protokollaa ei voida onnistuneesti naamioituneet. Anteeksi. (ESP authentication voi olla naamioituneet.)

Tässä korjaustiedoston netstat- joka lisää tunnustaminen ESP ja GRE protokollia. Lisää ja netstat -M toimii taas!

Jos haluat toteuttaa IPsec-VPN Linux, ota käy Linux FreeS/WAN-sivusto. Tämä on erityisen suositeltavaa, jos olet harkitsee PPTP-pohjainen VPN kahden verkkoja, jotka ovat molemmat takana Linux palomuurit. IPSec on turvallisempi ja paljon paremmin tähän kuin PPTP.

Käy Microsoftin suojausilmoituksia sivuston tärkeä PPTP tietoturvapäivityksen Microsoft PPTP asiakkaiden ja palvelinten. Saatat myös olla kiinnostunut analyysi Microsoftin täytäntöönpanon PPTP-protokollan yksi arvostetuimmista jäsenistä Crypto yhteisöä. Toinen analyysi ja kolmas analyysiin, jonka toiset ovat myös saatavilla.

Myös vapaasti saatavilla natiivi Linux PPTP asiakkaan ja PPTP-palvelin ohjelmisto. Huomaa, että tämä ohjelma ei ehkä mahdollista salausta: korjausohjelmia jotka lisäävät M $ -yhteensopiva salaus ja pakkaus pppd käydä tällä sivustolla, tai käy tällä ftp sivustolla, jossa Paul Cadach <paul@odt.east.telecom.kz> tarjoaa pppd korjauspäivityksiä tukea MS-CHAP-V1/V2 MPPE  ja toteuttaa Multilink PPP NT. (Nämä linkit ovat melko vanhoja. Käy PoPToP sivusto nykyisen tilan natiivi-Linux PPTP.)

Runsas kiitos Gordon Chaffee koodausta ja jakaa laastari traceroute joka mahdollistaa jäljitys GRE liikennettä. Sen pitäisi olla korvaamaton vianmääritys jos GRE liikenne on estetty jonnekin. Hanki korjaustiedosto:
HTTP Mirror 1 | FTP Peili 1 ]

Laastari uudemman traceroute_1.4a12 on saatavana http://www.planet.net.au/~neale/debian/traceroute-GRE/

Olen käyttänyt naamioituneet VPN läpi eri inkarnaatioihin tämän korjaustiedoston menestyksekkäästi vuodesta 07 syyskuu 1997.

Minulla on vain x86 laatikko testata tätä. On kerrottu toimivan Sparc ja PowerPC-järjestelmissä. Kommentteja käyttäjiltä muissakin ovat tervetulleita.

2.1.65+ ytimiä suoraan tue tunnelointiprotokollaa perustuva GRE, mutta eivät ole tue PPTP natiivisti millään tavalla. Sinun täytyy silti paikata ytimen, jos haluat naamiaiset PPTP. Katso HOWTO on lisätietoja 2.1.x ja 2.2.x ytimiä.

2.0.x laastari ristiriidassa IP palomuuri Ketjut ja ipportfw laastarit yrittää paikata ytimen asetusten tiedostoja. Tämä on ei-kriittinen. Katso HOWTO lisätietoja.

Kyllä, tiedän, että IPsec on peer-to-peer. Kirjoitan tätä niin, että se on käyttökelpoinen ihmiset käyttävät IPSec loppupisteet Windows pakottaa epätarkkoja terminologiaa.

Etsin peilistä. Jos sinulla on web-tai FTP-palvelin, mieluiten SSH pääsy, ja et mielessä hosting muutamia tiedostoja, pisara minulle merkinnän! Jos haluat peilata minua tai ovat jo peilaus minua, pisara minulle merkinnän!


Voit ottaa minuun yhteyttä osoitteessa <jhardin@impsec.org>. Haluaisin kuulla kommentteja ja ehdotuksia, ja erityisesti ongelmia tämän korjaustiedoston. Voit myös käydä nykyinen versio tästä asiakirjasta, ja katsomaan kotisivuilleni

Disclaimer: Ei takeita toimivuudesta. Pidä toimiva käännetyn ytimen ympärille jos tämä räjähtää.

© 1999-2006 by John Hardin