使用Linux L2TP/IPsec VPN 服务器

24 保护无线连接
WEP加密算法是无线802.11标准（WiFi）的一部分，它完全可以被破解。任何小孩用像Airsnorp这样的工具都可以破解WEP口令，只要他有足够的时间来收集确定数量的数据包。另一个问题是发布WEP密钥没有很好的等级，比如你正好多了一些用户。许多无线访问节点（access point）有额外的安全方法（比如SSID认证，禁用SSID广播和基于MAC地址的访问控制），但这仍然不牢固，利用 Airsnort或Kismet等工具很容易被绕过。一些人提议用像IPsec或PPTP这样的VPN协议代替WEP，这些协议时间上经受了考验，并且它们的安全性也很被大家所熟悉。很明显，你不应该只依靠WEP。
在无线连接上运行VPN的问题是，不能被阻止坏家伙们访问你的无线网络，他们仍可以做像攻击访问节点（AP：access point）或无线客户端的下流事情。如果一个用户的工作站没有被安全保护，通过无线连接它可以被黑客或病毒利用，例如：工作站可能开有端口，文件和打印共享没有被关闭，没有安装个人防火墙或缺少安全补丁。WEP和它的继承者如WPA、802.1x、EAP/LEAP/PEAP和802.11x防止没有正确的证书的人加入你的无线网络。微软为Windows XP/2003中的无线网络积极推行PEAP，因此，如果你没有使用一个好的无线安全协议（WEP不算在内），在客户端工作站上至少安装一个个人防火墙和可以防病毒的软件是明智的。
IPsec支持“预共享密钥”和证书。如果用户比较少“预共享密钥”比较容易使用，但劣势是用户必须有固定（静态）IP地址。幸运的是， RFC 1918范围的固定地址（192.168.x.x、10.x.x.x等）可以分配给无线用户。有一个例外：使用Windows 2000的“新建连接向导”不能工作，因为这个“向导”不支持“预共享密钥”。
另一个需要密切注意的事情是，如果VPN连接停止，明显地客户端应该不能访问你被保护的网络。这种说法是愚蠢的，如果你打开IP传送（IP forwarding），从无线网络来的数据包将被恰当地传送到你的内部网络。请确信为无线网络建立了防火墙或仅为内网地址配置IP传送。
在基于802.11标准的无线网络中从一个访问节点到另一个访问节点漫游时是一个普遍的问题，如果我没有犯错的话，无线连接将断开连接，这意味着IPsec连接也将断开连接，因为新的访问节点也许分发了一个新的IP地址。可是在L2TP标准中规定应该快速重新连接，但我不知道它和 Openswan和l2tpd之间工作的怎么样。
在无线网络上的最初测试没有像一般的网络（比如：在以太岗上）那样出现较多的MTU大小问题，复杂因素大概是内建的L2TP/IPsec客户端从丢失的数据包中不能很好的恢复。
德国Stuttgart的学生在他们的宿舍里的无线网络上使用了Linksys WRT54g路由器和一个中枢FreeS/WAN服务器，通过FreeRADIUS进行认证。
25 Linux作为一个L2TP/IPsec客户端
可能有这种情况，你希望使用Linux作为一个客户端连接到一个L2TP/IPsec VPN服务器（比如 Windows 2000/2003），这些情况下多数不是真正需要L2TP的，简单的IPsec应该足够了，并且Linux支持它。实际上，在 Linux客户端上使用L2TP会使事情变得复杂。但实际情况是你不能绕过它，比如，L2TP/IPsec VPN服务器的管理员会拒绝容纳Linux用户。我没有设法把Linux当作L2TP/IPsec客户端，也许它可以工作。我希望它像上面所说的配置L2TP/IPsec服务器那样相似。主要的差异大概是在l2tpd.conf中加入一个“client”节。
; Connect as a client to a server at 123.123.123.123
[lac windowsVPNserver]
lns = 123.123.123.123
; (rest of the parameters similar to the [lns default] section)
同样可能也要使用pppd的“usepeerdns”参数。Openswan的配置大概不需要改变。但开始一个到L2TP/IPsec服务器的连接将会清楚，比如：用命令：ipsec auto –up L2TP-CERT。
一旦IPsec连接启动，L2TP连接将（用类似下面的方法）被启动。
echo “c windowVPNserver” >; /var/run/l2tp-control
参考包含在l2tpd中的README获取关于L2TP连接的更多细节（less `rpm –ql l2tpd | grep \ /README`）。默认情况下l2tpd监听所有接口，如果你想使用Linux作为L2TP/IPsec客户端，看来不需要把l2tpd 也作为一个服务运行。你可以使用“listen-addr”参数将它只绑定到内网接口，避免L2TP服务完全暴露在外部。
26 这完全是思考，但是……
微软大概也试着把IPsec协议作为商品，所以支持它并扩充了由微软和Cisco开发的L2TP协议。微软把L2TP当成一个VPN协议来书写，比如：在微软的FAQ上有这样的对话：
问：我可以使用PPTP或L2TP吗？
答：L2TP被认为是比PPTP更安全并且允许你同第三方互相协同工作。
他们说的“L2TP”实际上是“L2TP/IPsec”，在L2TP/IPsec连接中是IPsec提供机密性和认证。看起来他们想把公众的注意力从IPsec（许多厂商拥有几个执行者）转移到L2TP（没有那么的产品可用）。另外，没有任何人愿意使用L2TP。它导致了“双重隧道”（额外的信息包顶部装置）并且大概只有一种手段进行额外的认证（当然，更适宜依靠NT SAM用户数据库，这意味着购买更多的Windows客户访问许可）。
我有一点迷惑，为什么微软发布MSL2TP客户端。他们最近已经停止了对“老版本”Windows的支持，而且这时候他们发布一个甚至能运行在 Windows 95上的软件。说得更广一点，发布免费的MSL2T，也因SafeNet正在蚕食它自己的第三方Windows IPsec客户端市场，引起了它的注意。
我也同意这样的观点：MSL2TP客户端是由SafeNet为微软开发的，Windows 2000/XP、Pkcket PC 2003的IKE/IPsec支持是和Cisco共同开发的，这显示出微软在内部全部的开发中所做的，没有足够高的优先权。

 

原文链接：http://www.chinaunix.net/jh/50/556457.html

 如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<

上一页 1 2 3 4 5 6 7 8 9 10 11 12 13下一页

上一篇：让Linux NAT服务器支持UPnP   下一篇：利用IP 别名托管多个SSL 站点

【文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【我要投稿】 【论坛讨论】