日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

五 Linux簡明系統(tǒng)維護手冊( 五 )

云知道


3.2 在服務器端生成windows可以認的p12格式的密鑰 。
openssl pkcs12 -export -in win.rd.xxx.com.pem -inkey win.rd.xxx.com.key -certfile demoCA/cacert.pem -out win.rd.xxx.com.p12
3.3 用命令察看環(huán)境:最好把結果輸出到文件記住,以后用得到 。
openssl x509 -in demoCA/cacert.pem -noout -subject
3.4 把上面生成的p12文件傳送到總經理的機器上,放在一個正規(guī)的地方(這個文件很重要) 。
3.5 在總經理的機器上從http://vpn.ebootis.de站點下載:ipsec.exe
3.6 在總經理的機器上從: http://agent.microsoft.com/windows2000/techinfo/reskit/tools/existing/ipsecpolo.asp站點下載windwos2000的ipsec資源工具 。
3.7 安裝上述兩個軟件,并且把他們放在同一個目錄中 。
3.8 建立一個ipsec的MMC:(希望你知道MMC是什么)
依次進入Start/Run/MMC,
File (or Console) - Add/Remove Snap-in單擊 "Add"選 "Certificates", 然后選 "Add"選 "Computer Account", 然后點 "Next".選 "Local computer", 然后點 "Finish".選 "IP Security Policy Management", 然后點 "Add".選 "Local Computer", 然后點 "Finish"選 "Close" 然后點 "OK"
3.9 增加一個證書
展開左側窗口中 "Certificates (Local Computer)"
右鍵 "Personal", 選 "All Tasks" 然后點 "Import"
點 Next
輸入哪個.p12 文件的路徑 (就是剛才你從服務器網關復制過來的,瀏覽選擇也可), 然后點"Next" 輸入export password(密碼), 然后點Next 選"Automatically select the certificate store based on the type of certificate", 然后點Next 點Finish, 如果有任何提示窗口彈出都選yes 退出MMC, 保存當前配置到管理工具中,這樣就不用每次都重新來過了 。以上所做就增加了一個證書到總經理的機器上 。
3.10設置ipsec工具:
編輯總經理機器上的ipsec.conf文件,把rightca的=后面寫成剛才openssl x509 -in demoCA/cacert.pem -noout –subject命令生成的結果 。類似下面這樣:
conn roadwarrior left=%any right=(ip_of_remote_system) rightca="C=US,S=State,L=City,O=21vianet,CN=CA,Email=ca@xxx.com" network=auto auto=start pfs=yesconn roadwarrior-net left=%any right=(ip_of_remote_system) rightsubnet=192.168.1.0/24 rightca="C=US,S=State,L=City,O=21vianet,CN=CA,Email=ca@xxx.com" network=auto auto=start pfs=yes
黑體部分要注意配置正確 。
3.12運行ipsec.exe有下面輸出:
C:ipsec>ipsecIPSec Version 2.1.4 (c) 2001,2002 Marcus MuellerGetting running Config ...Microsoft"s Windows XP identifiedHost name is: (local_hostname)No RAS connections found.LAN IP address: (local_ip_address)Setting up IPSec ...Deactivating old policy...Removing old policy...Connection roadwarrior:MyTunnel: (local_ip_address)MyNet: (local_ip_address)/255.255.255.255PartnerTunnel: (ip_of_remote_system)PartnerNet: (ip_of_remote_system)/255.255.255.255CA (ID): C=US,S=State,L=City,O=ExampleCo,...PFS: yAuto : startAuth.Mode: MD5Rekeying: 3600S/50000KActivating policy...Connection roadwarrior-net:MyTunnel: (local_ip_address)MyNet: (local_ip_address)/255.255.255.255PartnerTunnel: (ip_of_remote_system)PartnerNet: (remote_subnet)/(remote_netmask)CA (ID): C=US,S=State,L=City,O=ExampleCo,...PFS: yAuto : startAuth.Mode: MD5Rekeying: 3600S/50000KActivating policy...C:ipsec>
這時候你從客戶端ping服務器后面的內網得到幾個"Negotiating IP Security"之后就可以ping通了 。這樣總經理帶著這臺筆記本到有互聯(lián)網絡的地方就可以象在辦公室一樣連接到公司里了 。
值的注意的是,出于安全性的問題,我們建議你關閉VPN網關上面的所有其他服務,并仔細配置防火墻 。通常的,如果你希望把所有的流量都發(fā)送給主站網關,在從站就不需要增加iptables策略 。否則,需要增加這樣一條策略:
iptables –t nat –A POSTROUTING –o eth0 –j MASQUERADE
在主站由于路由的原因,需要增加下面的策略:

推薦閱讀