Red Hat Enterprise Linux 3: Руководство по безопасности
НазадГлава 6. Виртуальные частные сетиВперёд

6.5. Настройка сервера CIPE

Чтобы развернуть сервер CIPE, установите с компакт-диска Red Hat Enterprise Linux или из сети Red Hat Network RPM-пакет cipe.

ВажноВажно
 

Если вы используете старые версии Red Hat Enterprise Linux и/или CIPE, вам следует перейти на новейшие версии.

Затем скопируйте примеры файлов конфигурации из /usr/share/doc/cipe-version/samples/ (где version — версия установленного в вашей системе сервера CIPE) в каталог /etc/cipe/. Сделав это, вы должны отредактировать файл /etc/cipe/options.cipcbx (x — последовательный номер с нумерацией от 0, он нужен для реализации нескольких CIPE-соединений на одном CIPE-сервере), указав в нём адреса вашей подсети и маршрутизируемые во внешней сети IP-адреса брандмауэра. Ниже приведён пример файла options, включённого в RPM-пакет cipe, который в нашем случае называется options.cipbcb0: 


# Surprise, this file allows comments (but only on a line by themselves)
# This is probably the minimal set of options that has to be set
# Without a "device" line, the device is picked dynamically

# the peer's IP address
ptpaddr         6.5.4.3

# our CIPE device's IP address
ipaddr          6.7.8.9

# my UDP address. Note: if you set port 0 here, the system will pick
# one and tell it to you via the ip-up script. Same holds for IP 0.0.0.0.
me              bigred.inka.de:6789

# ...and the UDP address we connect to. Of course no wildcards here.
peer            blackforest.inka.de:6543

# The static key. Keep this file secret!
# The key is 128 bits in hexadecimal notation.
key             xxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Параметр ptpaddr определяет адрес партнёра в виртуальной CIPE-сети. В параметре ipaddr задаётся IP-адрес данного компьютера в этой сети. Адрес me — маршрутизируемый во внешней сети IP-адрес, через который UDP-пакеты уходят в Интернет, а peer — маршрутизируемый во внешней сети IP-адрес узла-партнёра. Заметьте, что для динамически подключающегося компьютера клиента следует использовать IP-адрес 0.0.0.0, так как соединение с ведущим CIPE-сервером устанавливает клиент. В поле key (закрытом буквами x; так как оно должно быть секретным) задаётся общий статический ключ. Этот ключ должен совпадать на обоих узлах, в противном случае соединение не установится. За указаниями по формированию общего постоянного ключа на ваших CIPE-узлах обратитесь к разделу 6.8 Управление ключами CIPE.

Ниже приведён файл /etc/cipe/options.cipcb0, используемый на клиентской рабочей станции: 


ptpaddr        10.0.1.2
ipaddr         10.0.1.1
me             0.0.0.0
peer           LAN.EXAMPLE.COM:6969
key            123456ourlittlesecret7890shhhh

Так выглядит файл /etc/cipe/options.cipcb0 на CIPE-сервере: 


ptpaddr        10.0.1.1
ipaddr         10.0.1.2
me             LAN.EXAMPLE.COM:6969
peer           0.0.0.0
key            123456ourlittlesecret7890shhhh
НазадНачалоВперёд
Установка CIPEВверхНастройка клиентов CIPE