作者 主題: 實作 用 FreeS/WAN 建立 site-to-site VPN 及 windows client VP  (閱讀 25661 次)

0 會員 與 1 訪客 正在閱讀本文。

adersun

  • 懷疑的國中生
  • **
  • 文章數: 34
    • 檢視個人資料
實作在 Linux 上使用FreeS/WAN 建立 LAN-To-LAN VPN 及 Windows 2K/XP client VPN connection

作者 : adersun

FreeS/WAN 是一個使用 IPSec 協定的 VPN 軟體, 它利用 OpenSSL強大的加密能力來建立功能齊全的 VPN 環境, 但是一開始因為它沒有應用在 Windows base client的功能, 所以一般都把它用來使用在 LAN-to-LAN base 為基礎的VPN環境.
但是現在有越來越多的一般企業有 Windows client 需要使用 VPN 來聯絡自己公司內部網路的需求, 因此就有些 FreeS/WAN 的使用者位它開發了支援 Windows client 的Patch 及 Tools.
本文在說明如何在 Linux 系統上以 FreeS/WAN 建立 LAN-to-LAN 及 Windows 2K/XP 客戶端的 VPN 環境.

測試環境 :

Red Hat 7.3, kernel- 2.4.18-3

您所需要的套件 :

FreeS/WAN (get 1.9.9 or later) : http://download.freeswan.ca/freeswan-1.99.tar.gz
RedHat kernel IPSec module enable RPM : ftp://ftp.xs4all.nl/pub/crypto/freeswan/binaries/RedHat-RPMs/ freeswan-module-1.99_2.4.18_3-0.i386.rpm
X.509 Patch for FreeS/WAN : http://www.strongsec.com/freeswan/x509patch-0.9.25-freeswan-1.99.tar.gz
OpenSSL  0.9.7a or later : http://www.openssl.org/source/openssl-0.9.7a.tar.gz  
Windows 2000/XP VPN Tool : http://vpn.ebootis.de
Windows 2000 ipesecpol.exe Tool Version 1.22 該程式式在 Windows 2000 Resource Kit.您可以在此 download: http://agent.microsoft.com/windows2000/techinfo/reskit/tools/existing/ipsecpol-o.asp



因為要加入 Patch, 所以在這裡使用的均為 tar ball 安裝.

首先必須先 Compile 您的 kernel, 加入支援 IPSec, GRE, …及其他所需的網路選項, 在 RedHat 中您需要在 kernel 裡加入支援 IPSec, 目前已有RPM file 可用, 至於如何 compile kernel 在此不再作說明.

安裝 OpenSSL :

代碼: [選擇]
# cd /tmp
# cp ./openssl-0.9.7a.tar.gz /usr/src
# cd /usr/src
# tar zxvf openssl-0.9.7a.tar.gz
# cd openssl-0.9.7a
# ./configure
# make;make test;make install


安裝FreeS/WAN + X.509 Patches :

我們需要讓 Windows client 可以使用 VPN, 所以在 server 端必須加上 X.509 patch

代碼: [選擇]
# cd /tmp
# cp ./ freeswan-1.99.tar.gz /usr/src
# cd /usr/src
# tar zxvf freeswan-1.99.tar.gz
# cd freeswan-1.99
# gzip –cd /tmp/x509patch-0.9.25-freeswan-1.99.tar.gz | patch –p1
# make programs
# make install


建立認證權仗 (Certificate Authority) <-(小弟學淺, 不知道是不是這樣翻譯??) :

1.   編輯 /use/ share/ssl/openssl.cnf 檔, 將 default_bits =1024 改為 default_bits = 2048, 把  default_days = 365 改為 3650.
2.   建立一個目錄放置等一下我們做出來的各個認證檔, 通常我會建在 /root/vpn 下, 在將此目錄權限改為 700, 如此建立出來的認證檔就只有 root 有權限 access.
3.   編輯 /usr/share/ssl/misc/CA檔, 將 DAYS="days -365" 改為 DAYS="days -3650",
4.   # cd /root/vpn
# /usr/share/ssl/misc/CA –newca
接下來則會問你一連串的問題, 請依據您實際狀況輸入, 千萬不要輸入特殊字元如 : # ,+, / …, 以下為範例 :

代碼: [選擇]

# /usr/share/ssl/misc/CA -newca
CA certificate filename (or enter to create)
(enter)
Making CA certificate ...
Using configuration from /usr/lib/ssl/openssl.cnf
Generating a 2048 bit RSA private key
.............................................................................+++
........................................+++
writing new private key to './demoCA/private/./cakey.pem' <- 告訴你它將會建立 cakey.pem 這個檔.
Enter PEM pass phrase:(abcdefg)  這個 password 將作為以後建立其他?#123;證時所需要鍵入的 password.
Verifying password - Enter PEM pass phrase:(abcdefg) 再輸入一次 password.
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:TW(enter) 輸入你的國碼
State or Province Name (full name) [Some-State]:Taiwan(enter) 輸入你的洲 / 省
Locality Name (eg, city) []:Hsinchu(enter) 輸入您所在的城市名.
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Ader’s Personal Studio(enter) 輸入您公司的寶號
Organizational Unit Name (eg, section) []:(enter)輸入您的組織名稱, 通常我留空白, 直接按 enter.
Common Name (eg, your name or your server’s hostname) []:linux-test(enter) 輸入你想要的Certificate Authority 名字, 通常我輸入我 linux 主機的 hostname.
Email Address []:ca@example.com(enter) abcd@abcd.com.tw 輸入你的 email address.
#


現在我們已經建立一個可以用來製造 client 認證的認證權仗(certificate authority).

製造認證 (generate certificates) :  

1.   首先我們需要先為 我們的 VPN Gateway製造一個認證出來

代碼: [選擇]

# /usr/share/ssl/misc/CA -newreq
Using configuration from /usr/lib/ssl/openssl.cnf
Generating a 2048 bit RSA private key
...................................+++
...............................+++
writing new private key to 'newreq.pem'
Enter PEM pass phrase:(abcdefg)
Verifying password - Enter PEM pass phrase:(abcdefg)
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:TW(enter)
State or Province Name (full name) [Some-State]:Taiwan(enter)
Locality Name (eg, city) []:Hsinchu(enter)
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Ader’s Personal Studio(enter)
Organizational Unit Name (eg, section) []:(enter)
Common Name (eg, YOUR name) []:linux-test(enter)
Email Address []:abcd@abcd.com.tw (enter)

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:(enter)
An optional company name []:(enter)
Request (and private key) is in newreq.pem
#


現在要註冊這個認證 :

代碼: [選擇]

# # /usr/share/ssl/misc/CA -sign
Using configuration from /usr/share/ssl/openssl.cnf
Enter PEM pass phrase:
Check that the request matches the signature
Signature ok
The Subjects Distinguished Name is as follows
countryName           :PRINTABLE:'TW'
stateOrProvinceName   :PRINTABLE:'Taiwan'
localityName          :PRINTABLE:'Hsinchu'
organizationName      :PRINTABLE:'Ader's Personal Studio'
commonName            :PRINTABLE:'linux-test'
emailAddress          :IA5STRING:'abcd@abcd.com.tw'
Certificate is to be certified until Mar 22 10:01:37 2013 GMT (3650 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
(然後會 show出一大堆編碼)
Signed certificate is in newcert.pem <- 告訴你?#123;證已註冊.


2.   現在我們要把剛剛製造出來的檔案改名成我們可以辨識的檔案

代碼: [選擇]

# mv newcert.pem vpn@linux-test.abcd.com.tw.pem
# mv newreq.pem vpn@linux-test.abcd.com.tw.key


3.   編輯我們剛才更名的 vpn@linux-test.abcd.com.tw.key 檔, 將

代碼: [選擇]

-----BEGIN CERTIFICATE REQUEST----- 後的那一段全部刪除, 只留下-----BEGIN RSA PRIVATE KEY----- 到-----END RSA PRIVATE KEY----- 這一段內容.


安裝認證到您的VPN Gateway :

代碼: [選擇]

# cp ./vpn@linux-test.abcd.com.tw.key /etc/ipsec.d/private
# cp ./vpn@linux-test.abcd.com.tw.pem /etc/ipsec.d
# cp ./ demoCA/cacert.pem /etc/ipsec.d/cacerts
# openssl ca -gencrl -out /etc/ipsec.d/crls/crl.pem
Using configuration from /usr/share/ssl/openssl.cnf
Enter PEM pass phrase : (abcdefg)
#


設定您的 VPN Gateway :

1.   設定 /etc/ipsec.secrets
: RSA host.example.com.key "password"
“password”這是您剛剛在 generate SSL 時打的 password.
2.   設定 /etc/ipsec.conf :
ipsec.conf 應該看起來長的這樣 :

代碼: [選擇]

config setup
      interfaces=%defaultroute
      klipsdebug=none
      plutodebug=none
      plutoload=%search
      plutostart=%search
      uniqueids=yes

conn %default
      keyingtries=1
      compress=yes
      disablearrivalcheck=no
      authby=rsasig
      leftrsasigkey=%cert
      rightrsasigkey=%cert

conn roadwarrior-net
      leftsubnet=(你的subnet)/(你子網路的netmask)
      also=roadwarrior

conn roadwarrior
      right=%any
      left=%defaultroute
      leftcert=vpn@linux-test.abcd.com.tw.pem
      auto=add
      pfs=yes



請注意上面的編排, 每一個 section 的第一行需凸出該段落的其他部分,
請不要問我為何, 請問作者…. 我曾經試過好幾次失敗, 就是因為這地方
沒注意到.
上述的設定是任何人只要是有剛剛您在前面步驟所做出的憑證, 就可以
連接上你的 gateway .
上面的設定有兩個 roadwarrior 段落值得注意, 第一個設定的是提供直接
連線到您的 VPN Gateway, 另一個是提供您的 client 到 VPN Gateway 後
方的網路區域.

Client 設定 ( Linux 機器, 這可能是單機, 也可以是另一個子網路的 gateway.. )

1.   請重複上面generate certificates 的步驟, 在建立一個 certificate, 然後將它
命名為 client-1@linux-test.abcd.com.tw.pem .client-1@linux-test.abcd.com.tw.key &ccedil;名字請自取, 只要能辨認就行.

2.   使用 scp , wscp 或secure-ftp 之類的加密傳輸軟體將下列我們製造出來的
認證複製到您的 client 機器.
vpn@linux-test.abcd.com.tw.pem
client-1@linux-test.abcd.com.tw.pem
client-1@linux-test.abcd.com.tw.key
cacert.pem
crl.pem

3.   將上述檔案複製到適合的位置 :

代碼: [選擇]

# cp client-1@linux-test.abcd.com.tw.key /etc/ipsec.d/private
# cp client-1@linux-test.abcd.com.tw.key/etc/ipsec.d
# cp vpn@linux-test.abcd.com.tw.pem /etc/ipsec.d
# cp crl.pem /etc/ipsec.d/crls
# cp cacert.pem /etc/ipsec.d/cacerts/cacert.pem


4.   設定 client 端的 ipsec :
ipsec.secrets:

: RSA client-1@linux-test.abcd.com.tw.key "password" <--這是您剛剛在 generate SSL 時打的 password

ipsec.conf :

代碼: [選擇]

config setup
      interfaces=%defaultroute
      klipsdebug=none
      plutodebug=none
      plutoload=%search
      plutostart=%search
      uniqueids=yes

conn %default
      keyingtries=0
      compress=yes
      disablearrivalcheck=no
      authby=rsasig
      leftrsasigkey=%cert
      rightrsasigkey=%cert

conn roadwarrior-net
      left=(ip.of.host)
      leftsubnet=(你的subnet)/(你子網路的netmask)
      also=roadwarrior
      conn roadwarrior
      left=(ip.of.host)
      leftcert=host.example.com.pem
      right=%defaultroute
      rightcert=client-1@linux-test.abcd.com.tw.pem
      auto=add
      pfs=yes


如果您想讓它自動連線, 將上面的auto=add 改成auto=start

5.   連線您的 VPN :

代碼: [選擇]

# ipsec auto --up roadwarrior
# ipsec auto --up roadwarrior-net


Client 設定 ( Windows 2K/XP 機器 ):

1.   建立 windows client 認證 :
請重複上面generate certificates 的步驟, 在建立一個 certificate, 然後將它
命名為 client-2@linux-test.abcd.com.tw.pem .client-2@linux-test.abcd.com.tw.key &ccedil;名字請自取, 只要能辨認就行.

2.   匯出上面的認證成 windows 認識的 *.p12 檔 :
# openssl pkcs12 -export -in client-2@linux-test.abcd.com.tw.pem -inkey client-2@linux-test.abcd.com.tw.key -certfile demoCA/cacert.pem -out client-2@linux-test.abcd.com.tw.p12
然後run 一下下面的指令, 並記下其輸出的結果, 待會我們會用到 :
$ openssl x509 -in demoCA/cacert.pem -noout –subject

3.   將上面檔案複製到你的 windows client 上, 並下載文章最前所述的Windows 2000/XP VPN Tool 並解壓到適當位置 ( 如 : c:\ipsec )

4.   建立IPSEC + Certificates MMC ( 我工作用的 PC 為 windows 2000 英文版, 所以很抱歉我以英文寫出以下步驟 )
Start/Run/MMC
Console - Add/Remove Snap-in
點擊 'Add'
點擊 'Certificates' - 'Add'
選擇 'Computer Account', 'Next'.
選擇 'Local computer', 'Finish'.
點擊 'IP Security Policy Management', 'Add'.
選擇 'Local Computer', 'Finish'
點擊'Close', 'OK'

5.   加入認證 :
點擊'Certificates (Local Computer)' 旁的 + 號
右鍵 'Personal', 點選 'All Tasks' - 'Import' – Next
鍵入 .p12 檔的路徑, 'Next'
鍵入 password, Next
選擇 'Automatically select the certificate store based on the type of certificate',  Next
點擊 Finish, - 然後一路 yes
存檔離開 mmc

6.   設定Windows 2000/XP VPN Tool :
安裝您download 下來的ipsecpol.exe (Windows 2000), 如果您是 XP , XP已經在他原版 CD 裡附有ipseccmd.exe 這個檔, 然後在該機器上編輯ipsec.conf 檔, 將 "RightCA" 置換成剛剛'openssl x509 -in demoCA/cacert.pem -noout -subject' 這步時所輸出的內容, 且改寫其他內容如下所述 :

代碼: [選擇]

conn roadwarrior
      left=%any
      right=(ip_of_remote_system)
      rightca="C=TW,S=Taiwan,L=Hsinchu,O=Ader's Personal Studio,CN=linux-test,Email=abcd@abcd.com.tw"
      network=auto
      auto=start
      pfs=yes

conn roadwarrior-net
      left=%any
      right=(ip_of_remote_system)
      rightsubnet=(your_subnet)/(your_netmask)
      rightca="C=TW,S=Taiwan,L=Hsinchu,O=Ader's Personal Studio,CN=linux-test,Email=abcd@abcd.com.tw"
      network=auto
      auto=start
      pfs=yes


Note : 以上 :
rightca="C=TW,S=Taiwan,L=Hsinchu,O=Ader's Personal Studio,CN=linux-test,Email=abcd@abcd.com.tw"
為同一行.

7.   開始建立 windows client VPN 連線, 以下為執行 ipsec.exe 時之輸出:

代碼: [選擇]

C:\ipsec>ipsec
IPSec Version 2.1.4 (c) 2001,2002 Marcus Mueller
Getting running Config ...
Microsoft's Windows 2000 identified
Host name is: (adersun-laptop)
No RAS connections found.
LAN IP address: (xxx.xxx.xxx.xxx)
Setting up IPSec ...

Deactivating old policy...
Removing old policy...

Connection roadwarrior:
MyTunnel : (xxx.xxx.xxx.xxx)
MyNet : (xxx.xxx.xxx.xxx)/255.255.255.255
PartnerTunnel: (yyy.yyy.yyy.yyy)
PartnerNet : (yyy.yyy.yyy.yyy)/255.255.255.255
CA (ID) : C=TW,S=Taiwan,L=Hsinchu,O=Ader's Personal Studio,...
PFS : y
Auto : start
Auth.Mode : MD5
Rekeying : 3600S/50000K
Activating policy...

Connection roadwarrior-net:
MyTunnel : (xxx.xxx.xxx.xxx)
MyNet : (xxx.xxx.xxx.xxx)/255.255.255.255
PartnerTunnel: (yyy.yyy.yyy.yyy)
PartnerNet : (yyy.yyy.yyy.yyy)/(255.255.255.0)
CA (ID) : C=TW,S=Taiwan,L=Hsinchu,O=Ader's Personal Studio,...
PFS : y
Auto : start
Auth.Mode : MD5
Rekeying : 3600S/50000K
Activating policy...

C:\ipsec>


大功告成 !!

參考資料 :

http://www.jacco2.dds.nl/networking/freeswan-l2tp.html
http://www.jacco2.dds.nl/networking/win2000xp-freeswan.html
http://www.jacco2.dds.nl/networking/msl2tp.html
http://www.natecarlson.com/linux/ipsec-x509.php
http://vpn.ebootis.de/
http://www.strongsec.com/freeswan/
http://www.freeswan.org/

adersun

  • 懷疑的國中生
  • **
  • 文章數: 34
    • 檢視個人資料
sorry, 以上文件為我在公司內為了以後新進人員寫的, 因分好幾天寫的, 如有檔名及輸出入字串上下不符, 請閱讀者自行斟酌.....

如有廖誤, 敬請指教

多謝 !!

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
推~~~  ! 收進精華區...

zoob

  • 鑽研的研究生
  • *****
  • 文章數: 776
    • 檢視個人資料
    • http://www.myunix.idv.tw
這篇文章寫得還真詳細

adersun....我能收錄此篇文章嗎?

adersun

  • 懷疑的國中生
  • **
  • 文章數: 34
    • 檢視個人資料
請隨便轉載.....
這份文章我已用不到了, 上禮拜公司已接受我很久之前的建議, 目前使用 Cisco VPN System...., 所以才能將本文貼出來.... 其實我寫了很多 document, 但都因 security 關係無法拿出來分享.....

BTW: 最近希望能說服我美國老闆捨棄 Window 而使用 Sun iplanet 系列 run 在 Linux 上來取代, 希望使用 iplanet directory + messaganger + web + meta + application server 做到全球集中認證 windows 及 UNIX, mail.....
目前在 study iplanet directory server, 但觀念上非常不清, 希望可以友人一起互相研究學習, 而且如果可以做出一個模擬類似的環境, 更有助於說服老闆....畢竟 microsoft 太死要錢....而 iplanet run 在 Linux 上幾乎不需要啥成本..... SUN還提供 free download (當然商用的應該是要花錢, 但和微軟的價錢比, 全球不知省多少).....

所以徵求一起學習討論的夥伴.....

不知各位有沒興趣 ???

adersun

  • 懷疑的國中生
  • **
  • 文章數: 34
    • 檢視個人資料
對了, 以上文章不適用 NAT 環境, 如需用在 NAT 請參考相關資料....

adersun

  • 懷疑的國中生
  • **
  • 文章數: 34
    • 檢視個人資料
以下是給要使用在 NAT 環境下的網友們作參考, 我並沒有實做過, 請有這樣環境的人實作過後, 可以回報一下, 由於該信件很短, 所以我就不翻譯了 :

From: Matthew Mastracci
To: Nate Carlson
Subject: Fix for Windows 2000 "Connection not found"

I've found another way around the error you describe on your page:

Apr 01 00:00:00 testfw Pluto[1234]: "roadwarrior-net" #1: cannot respond to IPsec SA request because no connection is known for [DSN].../32

All you need to do is specify a connection (on the Linux side) like:

conn windows2000
      right=%any
      rightsubnet=0/0 <-- this is the important line
      leftsubnet=(the vpn side's internal subnet)

And on the Windows boxes, use:

conn vpn
      left=%any
      leftsubnet=* <-- this is the important line
      right=(the vpn tunnel computer)
      rightsubnet=(the vpn side's internal subnet)
      rightca="(CA description)"
      auto=start
      pfs=yes

This works because Windows 2000 sends the addresses in *filter* as the
connection description. That's why you always end up seeing a subnet
description at the end of the connection. This means that if you use
"My IP Address" as the filter IP for your side, this will always be
sent. My trick gets around this by using "Any IP Address" as the
source. I don't know, however, whether Windows 2000 will forward
packets if someone were to try to spoof this connection by routing a
packet to the VPN subnet by using the roadwarrior's computer as gateway.
This could *potentially* allow others access across the VPN. Because
users in this situation are firewalled, however, this may not be a
problem.

It may be possible to add additional IPSec rules on the Windows side
that wouldn't contribute to the connection description, but would deny
any traffic to the secure subnet from anything but the local computer.

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
引述: "adersun"
BTW: 最近希望能說服我美國老闆捨棄 Window 而使用 Sun iplanet 系列 run 在 Linux 上來取代, 希望使用 iplanet directory + messaganger + web + meta + application server 做到全球集中認證 windows 及 UNIX, mail.....
目前在 study iplanet directory server, 但觀念上非常不清, 希望可以友人一起互相研究學習, 而且如果可以做出一個模擬類似的環境, 更有助於說服老闆....畢竟 microsoft 太死要錢....而 iplanet run 在 Linux 上幾乎不需要啥成本..... SUN還提供 free download (當然商用的應該是要花錢, 但和微軟的價錢比, 全球不知省多少).....


iplanet整合的還不錯,
win2k掛個plug-in就可以用iplanet作認證,
ldap能作到這樣是滿不錯的.

zoob

  • 鑽研的研究生
  • *****
  • 文章數: 776
    • 檢視個人資料
    • http://www.myunix.idv.tw
Sun的iplanet是我目前看過屬於較不錯LDAP Server
在整合技術上也比其它的LDAP Server成熟

如果大家想研究的話,我也要插一腳...........^_^

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
iplanet一套有粉多片...

adersun

  • 懷疑的國中生
  • **
  • 文章數: 34
    • 檢視個人資料
www.su.com download 可以下載呀....
我已經下載了 iplanet directory 及 messanger.
如果需要, 小弟可以弄個討論版專門討論 iplanet.... 不知各位前被意見如何 ??

目前 sun 的 5.1-sp2 版本只能在 Red Hat 7.3 上 run....
我是過在 8.0 及 9.0 上裝, 不成....可能是 lib 版本不一樣的關係, 無法安裝.

小弟對 LDAP 的觀念實在不行..... 從前從沒接觸過, 所以希望各位學長們多多指教, 多幫幫小弟的忙......

axa

  • 憂鬱的高中生
  • ***
  • 文章數: 99
    • 檢視個人資料
adersun 大大真是厲害歐!

下次小弟也來獻醜一下,把NAT實作的部分也寫好分享給大家吧?  :D

之前小弟也寫了一些freeswan doc...但是寫得沒有adersun大大來得詳細...

這篇文章真是難得可貴的好文章阿   :D


引述: "adersun"
請隨便轉載.....
這份文章我已用不到了, 上禮拜公司已接受我很久之前的建議, 目前使用 Cisco VPN System...., 所以才能將本文貼出來.... 其實我寫了很多 document, 但都因 security 關係無法拿出來分享.....

BTW: 最近希望能說服我美國老闆捨棄 Window 而使用 Sun iplanet 系列 run 在 Linux 上來取代, 希望使用 iplanet directory + messaganger + web + meta + application server 做到全球集中認證 windows 及 UNIX, mail.....
目前在 study iplanet directory server, 但觀念上非常不清, 希望可以友人一起互相研究學習, 而且如果可以做出一個模擬類似的環境, 更有助於說服老闆....畢竟 microsoft 太死要錢....而 iplanet run 在 Linux 上幾乎不需要啥成本..... SUN還提供 free download (當然商用的應該是要花錢, 但和微軟的價錢比, 全球不知省多少).....

所以徵求一起學習討論的夥伴.....

不知各位有沒興趣 ???
rust & Unique ...

axa

  • 憂鬱的高中生
  • ***
  • 文章數: 99
    • 檢視個人資料
Sun的iplanet directory server真是個大怪獸阿~~~

至少sun的工程師是怎麼說的  :lol:

要學好需要花蠻多功夫的說...現在用openldap覺得很夠用的...可惜外掛的模組支援性不是很好....通常還要再compile....小弟最近想讓squid認證走ldap  :o

我怎麼把freeswan扯到LDAP去了... :-P

引述: "adersun"
www.su.com download 可以下載呀....
我已經下載了 iplanet directory 及 messanger.
如果需要, 小弟可以弄個討論版專門討論 iplanet.... 不知各位前被意見如何 ??

目前 sun 的 5.1-sp2 版本只能在 Red Hat 7.3 上 run....
我是過在 8.0 及 9.0 上裝, 不成....可能是 lib 版本不一樣的關係, 無法安裝.

小弟對 LDAP 的觀念實在不行..... 從前從沒接觸過, 所以希望各位學長們多多指教, 多幫幫小弟的忙......
rust & Unique ...

zoob

  • 鑽研的研究生
  • *****
  • 文章數: 776
    • 檢視個人資料
    • http://www.myunix.idv.tw
不過對於一個公司要真正將各系統整合起來的話
我會選擇使用iPlanet(至少目前是這樣的)

因為有問題時,至少有個明確對象可加以詢問
並且各個modules也比較成熟點

不過希望openldap也可加快腳步,更加的成熟.....

小海

  • 懷疑的國中生
  • **
  • 文章數: 49
    • 檢視個人資料
:cry:

小海

  • 懷疑的國中生
  • **
  • 文章數: 49
    • 檢視個人資料
請問有人試過嗎
我試都不太行耶.....
不知是那出錯,只要執行ipsec auto --add roadwarrior-net就出現
duplicalted parameter "left"有問題
請問大大們ipsec.conf中的一些設定名詞
如also,auto=add,pfs,authby,是啥義意啊!
可否指導小弟一下
老闆要我架好地說,看fresswan網站中的英文字也不太了

上一篇按錯,sorry

vjome

  • 可愛的小學生
  • *
  • 文章數: 4
    • 檢視個人資料
引述: "小海"
請問有人試過嗎
我試都不太行耶.....
不知是那出錯,只要執行ipsec auto --add roadwarrior-net就出現
duplicalted parameter "left"有問題
請問大大們ipsec.conf中的一些設定名詞
如also,auto=add,pfs,authby,是啥義意啊!
可否指導小弟一下
老闆要我架好地說,看fresswan網站中的英文字也不太了

上一篇按錯,sorry


請問各位哥哥們
我也是做到ipsec auto --add roadwarrior
就出現
022 "roadwarrior": we have no ipsecN interface for either end of this connection

請問各位哥哥們有遇過嗎?
謝謝!!

vjome

  • 可愛的小學生
  • *
  • 文章數: 4
    • 檢視個人資料
引述: "vjome"
引述: "小海"
請問有人試過嗎
我試都不太行耶.....
不知是那出錯,只要執行ipsec auto --add roadwarrior-net就出現
duplicalted parameter "left"有問題
請問大大們ipsec.conf中的一些設定名詞
如also,auto=add,pfs,authby,是啥義意啊!
可否指導小弟一下
老闆要我架好地說,看fresswan網站中的英文字也不太了

上一篇按錯,sorry


請問各位哥哥們
我也是做到ipsec auto --add roadwarrior
就出現
022 "roadwarrior": we have no ipsecN interface for either end of this connection

請問各位哥哥們有遇過嗎?
謝謝!!

原來是ipsec.conf沒設好!!
將ipsec.conf設好就沒這問題了!


另外又有新的問題   粉抱歉
各位哥哥們
我執行到  ipsec auto --up roadwarrior
卻出現下列錯誤訊息
有人知道要如何解決嗎??
謝謝!!

代碼: [選擇]
[root@minjeyvm etc]# ipsec auto --up roadwarrior
[root@minjeyvm etc]# service ipsec stop
ipsec_setup: Stopping FreeS/WAN IPsec...
[root@minjeyvm etc]# service ipsec start
ipsec_setup: Starting FreeS/WAN IPsec 2.05...
[root@minjeyvm etc]# ipsec auto --up roadwarrior
104 "roadwarrior" #1: STATE_MAIN_I1: initiate
106 "roadwarrior" #1: STATE_MAIN_I2: sent MI2, expecting MR2
003 "roadwarrior" #1: unable to locate my private key for RSA Signature
224 "roadwarrior" #1: STATE_MAIN_I2: AUTHENTICATION_FAILED
010 "roadwarrior" #1: STATE_MAIN_I2: retransmission; will wait 20s for response
003 "roadwarrior" #1: unable to locate my private key for RSA Signature
224 "roadwarrior" #1: STATE_MAIN_I2: AUTHENTICATION_FAILED
010 "roadwarrior" #1: STATE_MAIN_I2: retransmission; will wait 40s for response
003 "roadwarrior" #1: unable to locate my private key for RSA Signature
224 "roadwarrior" #1: STATE_MAIN_I2: AUTHENTICATION_FAILED
031 "roadwarrior" #1: max number of retransmissions (2) reached STATE_MAIN_I2
000 "roadwarrior" #1: starting keying attempt 2 of an unlimited number, but releasing whack