OpenSwan как сервер удаленного доступа

[root@localhost ~]# wget http://openswan.org/download/binaries/centos/5/without-nss/openswan-2.6.26-1.i386.rpm
[root@localhost ~]# rpm -ihv openswan-2.6.26-1.i386.rpm

[root@localhost ~]# yum install which lsof

net.ipv4.ip_forward = 1                     # Разрешаем форвардинг пакетов
net.ipv4.conf.default.send_redirects = 0    # Отключаем ICMP send redirects
net.ipv4.conf.default.accept_redirects = 0  # Отключаем ICMP accept redirects

[root@localhost ~]# sysctl -p

# /etc/ipsec.conf - Openswan IPsec configuration file
#
# Manual:     ipsec.conf.5
#
# Please place your own config files in /etc/ipsec.d/ ending in .conf
 
version 2.0     # conforms to second version of ipsec.conf specification
 
# basic configuration
config setup
# Debug-logging controls:  "none" for (almost) none, "all" for lots.
# klipsdebug=none
# plutodebug="control parsing"
# For Red Hat Enterprise Linux and Fedora, leave protostack=netkey
    protostack=netkey
 
    nat_traversal=yes                    # Использование NAT-T необходимо для
                                         # прохождения пакетов UDP через NAT
    virtual_private=%v4:192.168.10.0/24  # Описание виртуальной подсети для
                                         # VPN-клиентов
    oe=off
    # Enable this if you see "failed to find any available worker"
    nhelpers=0
 
# Секция описания первого подключения
conn conn-cl02
    authby=secret                 # аутентификация по Preshared Key
    aggrmode=yes                  # агрессивный режим настроек - необходим для
                                  # идентификации клиента с динамическим IP
                                  # по FQDN или User FQDN
 
# Все настройки начинающиеся с left относятся к локальному узлу
    left=%defaultroute            # IP внешнего интерфейса
                                  # %defaultroute - выбор по умолчанию
    leftnexthop=%defaultroute     # Шлюз внешнего интерфейса
                                  # %defaultroute - выбор по умолчанию
    leftsubnet=192.168.0.1/24     # Адрес локальной подсети
    leftid=@gate.my.domain        # ID локального хоста FQDN
 
# Все настройки начинающиеся с right относятся к удаленному узлу
    right=%any                    # внешний IP удаленного хоста, директива %any
                                  # говорит о том что может использоваться
                                  # любой адрес
    rightsubnet=vhost:%priv       # Виртуальный адрес клиента из подсети
                                  # указанной в ранее директиве virtual_private
    rightid=cl02@my.domain        # ID удаленного хоста - UFQDN
 
# Настройки алгоритмов шифрования и обмена ключами
    auth=esp
    keyexchange=ike
    ike=3des-sha1-modp1024!       # Параметры фазы 1, формат:
                                  #  кодирование-аутентификация-ключ группы
                                  # Восклицательный знак в конце означает, что
                                  # сервер будет принимать подключения только с
                                  # заданными настройками фазы.
    esp=3des-sha1!                # Параметры фазы 2, формат:
                                  #  кодирование-аутентификация
    pfs=yes                       # С версии 2.3 в openswan нет параметра
                                  # pfsgroup при включении pfs значениее
                                  # pfsgroup берется из фазы 1
 
# Настройка запуска подключения
    auto=add                      #  add - загрузить подключение и отвечать
                                  #  на входящее запросы
 
# Cекция описания второго подключения - совершенно аналогичная первой,
# единственное отличие значение rightid=cl03@my.domain - User FQDN второго
# клиента
conn conn-cl03
    authby=secret
    aggrmode=yes
 
    left=%defaultroute
    leftnexthop=%defaultroute
    leftsubnet=192.168.0.1/24
    leftid=@gate.my.domain
 
    right=%any
    rightsubnet=vhost:%priv
    rightid=cl03@my.domain
 
    auth=esp
    keyexchange=ike
    ike=3des-sha1-modp1024!
    esp=3des-sha1!
    pfs=yes
 
    auto=add
 
# Эту директиву можно раскомментировать и переместить описания подключений в
# разных файлах в директорию /etc/ipsec.d, скажем так описание conn-cl02 в
# файл /etc/ipsec.d/conn-cl02.conf, а описание conn-cl03 в файл
# /etc/ipsec.d/conn-cl03.conf. При наличии 2-х десятков подключений это может
# немножко облегчить жизнь.
#include /etc/ipsec.d/*.conf

# Формат записи: список идентификаторов хостов: PSK "парольная фраза"
# В нашем случае: leftid rightid: PSK "парольная фраза"
@gate.my.domain cl02@my.domain: PSK "password.for.cl02"
@gate.my.domain cl03@my.domain: PSK "password.for.cl03"
# Точно такая же директива как и в ipsec.conf
#include /etc/ipsec.d/*.secrets

# Разрешаем прохождение через файрвол для следующих протоколов:
# 1. IKE   - UDP порт 500
# 2. NAT-T - UDP порт 4500
# 3. ESP   - протокол 50
# eth0 - внешний интерфейс
iptables -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i eth0 -p 50 -j ACCEPT

[root@localhost ~]# chkconfig ipsec on
[root@localhost ~]# service ipsec start
ipsec_setup: Starting Openswan IPsec U2.6.26/K2.6.18-194.26.1.el5...