一文读懂:RHEL怎样通过control-center建立安全的IPsec VPN连接
各人好,这里是G-LAB IT实行室。假造专用网络(VPN)是一种通过互联网连接到当地网络的方法。Libreswan 提供的 IPsec 是创建 VPN 的首选方法。libreswan 是 VPN 的用户空间 IPsec 实现。VPN 通过在中间网络(如互联网)设置一个隧道来启用 LAN 和另一个远程 LAN 之间的通讯。为了安全起见,VPN 隧道总是利用认证和加密。对于加密利用,Libreswan 利用 NSS 库。利用 control-center 设置 VPN 连接
如果利用带有图形界面的 Red Hat Enterprise Linux ,您可以在 GNOME control-center 中设置 VPN 连接。
先决条件
已安装 NetworkManager-libreswan-gnome 软件包。
步调
1、按 Super 键,输入 Settings,然后按 Enter 键打开 control-center 应用程序。
2、选择左侧的 Network 条目。
3、点 + 图标。
4、选择 VPN。
5、选择 Identity 菜单项来查看根本设置选项:
General
Gateway - 远程 VPN 网关的名称或 IP 地址。
认证
范例
IKEv2(Certificate)- 客户端通过证书举行身份验证。它更安全(默认)。
IKEv1(XAUTH) - 客户端通过用户名和密码或预共享密钥(PSK)举行身份验证。
以下设置设置在 高级 部分中提供:https://i-blog.csdnimg.cn/direct/d11f89d92ccf483083aa05b535ba40a2.png
图VPN 连接的高级选项
告诫
当利用 gnome-control-center 应用程序设置基于 IPsec 的 VPN 连接时,高级 对话框会表现设置,但它不答应任何更改。因此,用户无法更改任何高级 IPsec 选项。利用 nm-connection-editor 或 nmcli 工具来设置高级属性。
身份识别
域 - 如果需要,输入域名。
安全性
[*]Phase1 Algorithms - 对应于 ike Libreswan 参数 - 输入用来验证和设置加密频道的算法。
[*]Phase2 Algorithms - 对应于 esp Libreswan 参数 - 输入用于 IPsec 协商的算法。
选择 Disable PFS 字段来关闭 Perfect Forward Secrecy(PFS),以确保与不支持 PFS 的旧服务器兼容。
[*]Phase1 Lifetime - 对应于 ikelifetime Libreswan 参数 - 用于加密流量的密钥的有效期。
[*]Phase2 Lifetime - 对应于 salifetime Libreswan 参数 - 在过期前连接的特定实例应多久。
注意:为了安全起见,加密密钥应该不时地更改。
[*]Remote network - 对应于 rightsubnet Libreswan 参数 - 应该通过 VPN 访问的目标专用远程网络。
查抄 缩减 字段以启用缩小字段。请注意,它只在 IKEv2 协商中有效。
[*]Enable fragmentation - 对应于 fragmentation Libreswan 参数 - 是否答应 IKE分段。有效值为 yes (默认)或 no。
[*]Enable Mobike - 对应于 mobike Libreswan 参数 - 是否答应 Mobility and Multihoming Protocol(MOBIKE、RFC 4555)启用连接来迁移其端点,而无需从头开始重启连接。这可用于在有线、无线或者移动数据连接之间举行切换的移动装备。值为 no (默认)或yes。
6、选择 【IPv4】菜单条目:
IPv4 方法
[*]Automatic (DHCP) - 如果您要连接的网络利用 DHCP 服务器来分配动态 IP 地址,请选择此选项。
[*]Link-Local Only - 如果您要连接的网络没有 DHCP 服务器且您不想手动分配 IP 地址,请选择这个选项。随机地址将根据RFC 3927 分配,带有前缀 169.254/16。
[*]手动 - 如果您要手动分配 IP 地址,请选择这个选项。
[*]Disable - 在这个连接中禁用 IPv4。
DNS
在 DNS 部分,当 Automatic 为 ON 时,将其切换到 OFF 以输入您要用逗号分开的 DNS 服务器的 IP 地址。
Routes
请注意,在 Routes 部分,当 Automatic 为 ON 时,会利用 DHCP 的路由,但您也可以添加额外的静态路由。当 OFF 时,只利用静态路由。
[*]Address - 输入远程网络或主机的 IP 地址。
[*]Netmask - 以上输入的 IP 地址的子网掩码或前缀长度。
[*]Gateway - 上面输入的远程网络或主机的网关的 IP 地址。
[*]Metric - 网络本钱,赋予此路由的首选值。数值越低,优先级越高。
仅将此连接用于其网络上的资源
选择这个复选框以防止连接成为默认路由。选择这个选项意味着只有特别用于路由的流量才会通过连接自动获得,或者手动输入到连接上。
7、要在 VPN 连接中设置 IPv6 设置,请选择 【IPv6】菜单条目:
IPv6 Method
[*]Automatic - 选择这个选项利用 IPv6 Stateless Address AutoConfiguration(SLAAC)根据硬件地址和路由器公告(RA)创建自动的、无状态的设置。
[*]Automatic, DHCP only - 选择这个选项以不利用 RA,但从 DHCPv6 请求信息以创建有状态的设置。
[*]Link-Local Only - 如果您要连接的网络没有 DHCP 服务器且您不想手动分配 IP 地址,请选择这个选项。随机地址将根据 RFC 4862 分配,前缀为 FE80::0。
[*]手动 - 如果您要手动分配 IP 地址,请选择这个选项。
[*]Disable - 在这个连接中禁用 IPv6。
请注意,DNS, Routes, Use this connection only for resources on its network 项是 IPv4 的通例设置。
8、编辑完 VPN 连接后,点添加按钮自界说设置或应用按钮为现有设置生存它。
9、将设置集切换为 ON 以激活 VPN 连接。
关注 工 仲 好:IT运维大本营,获取60个G的《网工系统大礼包》
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]