Linux

VPN Centos

vpn 比較

  • こちらのサイト参照
    • openVPN を初めにインストールしましたが、
      ios へ対応していないのでボツ
    • 次に pptp をインストールしましたが、
      emobile に対応していないのでボツ
    • 最後に L2TP をインストール

pptp サーバー構築 (CentOS 5)

  • ppp のインストール
    • yum install ppp
  • rpm build のためファイルを下記ディレクトリへコピー
    • cp ./pptpd-1.3.4.tar.gz /usr/src/redhat/SOURCES/
  • rpm を build
    • rpmbuild -ta pptpd-1.3.4.tar.gz
  • rpm からインストール
    • cd /usr/src/redhat/RPMS/i386/
    • rpm -ivh pptpd-1.3.4-1.i386.rpm
  • /etc/pptpd.conf 編集
    • vi /etc/pptpd.conf
    • 最後に下記を追加
      ppp /usr/sbin/pppd
      localip 192.168.1.101-110
      remoteip 192.168.2.111-120
      
      #logwtmp < logwtmp をコメントアウト
  • ppp の設定
    • vi /etc/ppp/options.pptpd
      name pptpd
      domain tar3.net
      
      # localip と remoteip が LAN 側サブネットに含まれる場合は proxyarp を有効にします。
      proxyarp
      
      auth
      lock
      
      refuse-pap
      refuse-chap
      refuse-mschap
      
      require-mschap-v2
      require-mppe-128
      
      ms-dns 192.168.1.37
      ms-dns 192.168.1.1
      ms-wins 192.168.1.37
      
      nobsdcomp
      
      novj
      novjcomp
      
      nologfd
      
      mtu 1200
      mru 1200
      
      debug
  • vi /etc/ppp/chap-secrets
    hoge pptpd password  *
  • ルーティング機能を有効にする
    • echo 1 > /proc/sys/net/ipv4/ip_forward
    • vi /etc/sysctl.conf
      net.ipv4.ip_forward = 1
  • ファイアウォールの 1723 と 47 のポートを開ける(iptables)
    • vi /etc/sysconfig/iptables
      -A FORWARD -i ppp+ -j ACCEPT
      -A FORWARD -o ppp+ -j ACCEPT
      -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
      
      -A INPUT -p gre -j ACCEPT
      -A INPUT -p tcp -m state --state NEW -m tcp --dport 1723 -j ACCEPT
  • 外とのルーターポートをNATで開ける
    • 1723 と 47 ポート
  • Windowsのネットワークコンピュータで LAN内部の別コンピュータのが見えるように
    • /etc/samba/smb.conf を編集
      [root@sv22 ~]# vi /etc/samba/smb.conf
      ; domain master = yes
       ↓
      domain master = yes
      
      ; local master = no
       ↓
      local master = yes
      
      ; preferred master = yes
       ↓
      preferred master = yes
      
      ; os level = 33
       ↓
      os level = 65
      
      ; wins support = yes
       ↓
      wins support = yes
  • Samba再起動
    [root@sv22 ~]# /etc/rc.d/init.d/smb restart
    SMB サービスを停止中: [ OK ]
    NMB サービスを停止中: [ OK ]
    SMB サービスを起動中: [ OK ]
    NMB サービスを起動中: [ OK ]

L2TP サーバー構築(centos 5)

参考サイト

CentOS に epel レポジトリのインストール

編集ファイル一覧

  • /etc/xl2tpd/xl2tpd.conf
  • /etc/ppp/options.xl2tpd
  • /etc/strongswan/ipsec.conf
  • /etc/strongswan/ipsec.d/l2tp-psk.conf
  • /etc/strongswan/ipsec.secrets
  • /etc/sysctl.conf
  • /etc/ppp/chap-secrets
  • /etc/sysconfig/selinux
  • /etc/sysconfig/iptables

/etc/xl2tpd/xl2tpd.conf の編集

  • vi /etc/xl2tpd/xl2tpd.conf
    [global]
    [lns default]
    ip range = 192.168.1.128-192.168.1.254
    local ip = 192.168.1.99
    require chap = yes
    refuse pap = yes
    require authentication = yes
    name = VPNserver
    ppp debug = yes
    pppoptfile = /etc/ppp/options.xl2tpd
    length bit = yes

/etc/ppp/options.xl2tpdの編集

  • vi /etc/ppp/options.xl2tpd
    auth
    crtscts
    debug
    lock
    proxyarp
    
    refuse-pap
    refuse-chap
    refuse-mschap
    require-mschap-v2
    
    logfile /var/log/xl2tpd.log 
    
    ms-dns  192.168.1.1
    ms-dns  192.168.1.2
    
    ipcp-accept-local
    ipcp-accept-remote

IPSec のインストール

strongswan のインストール(yum)

openswan にiPhoneからつながらない不具合が有り、
strongswan に変更

yum install strongswan

/etc/strongswan/ipsec.conf の編集

  • vi /etc/strongswan/ipsec.conf
    version 2.0
    
    config setup
     protostack=netkey
     nat_traversal=yes
    include /etc/strongswan/ipsec.d/*.conf

/etc/strongswan/ipsec.d/l2tp-psk.conf ファイルの作成

  • vi /etc/strongswan/ipsec.d/l2tp-psk.conf
    conn L2TP-PSK-NAT
           rightsubnet=0.0.0.0/0
           #rightsubnet=vhost:%priv
           forceencaps=yes
           dpddelay=10
           dpdtimeout=30
           dpdaction=clear
           also=L2TP-PSK-noNAT
    conn L2TP-PSK-noNAT
    #conn L2TP-PSK
    #
    # Configuration for one user with any type of IPsec/L2TP client
    # including the updated Windows 2000/XP (MS KB Q818043), but
    # excluding the non-updated Windows 2000/XP.
    #
    #
    # Use a Preshared Key. Disable Perfect Forward Secrecy.
    #
    # PreSharedSecret needs to be specified in /etc/ipsec.secrets as
    # YourIPAddress  %any: "sharedsecret"
            authby=secret
            pfs=no
            auto=add
            keyingtries=3
            
            # we cannot rekey for %any, let client rekey
            rekey=no
     
            # Apple iOS doesn't send delete notify so we need dead peer detection
            # to detect vanishing clients
            #dpddelay=5
            #dpdtimeout=10
            #dpdaction=clear
     
            # Set ikelifetime and keylife to same defaults windows has
            ikelifetime=8h
            keylife=1h
            
            # l2tp-over-ipsec is transport mode
            type=transport
     
            left=192.168.1.3
            leftnexthop=%defaultroute
            #leftsubnet=192.168.1.0/24 
            
            # For updated Windows 2000/XP clients,
            # to support old clients as well, use leftprotoport=17/%any
            leftprotoport=17/1701
            
            # The remote user.
            right=%any
            
            # Using the magic port of "%any" means "any one single port". This is
            # a work around required for Apple OSX clients that use a randomly
            # high port.
            
            rightprotoport=17/%any
            #rightprotoport=17/0
            
            #ike=3des-md5
            #esp=3des-md5
            #forceencaps=yes
            
            

/etc/strongswan/ipsec.secrets の編集

  • vi /etc/strongswan/ipsec.secrets
    : PSK "password"
    
    include /etc/strongswan/ipsec.d/*.secrets
  • root 以外の参照禁止
    • chmod go-rwx /etc/strongswan/ipsec.secrets

起動

  • service strongswan starts
  • service xl2tpd start

自動起動の設定

  • chkconfig strongswan on
  • chkconfig xl2tpd on

NETKEY detected, testing for disabled ICMP send_redirects [FAILED] 対策

  • vi /etc/sysctl.conf
    net.ipv4.conf.all.send_redirects = 0
    net.ipv4.conf.all.accept_redirects = 0
    net.ipv4.conf.default.send_redirects = 0
    net.ipv4.conf.default.accept_redirects = 0
    net.ipv4.conf.lo.send_redirects = 0
    net.ipv4.conf.lo.accept_redirects = 0
    net.ipv4.conf.eth0.send_redirects = 0
    net.ipv4.conf.eth0.accept_redirects = 0
    net.ipv4.conf.eth1.send_redirects = 0
    net.ipv4.conf.eth1.accept_redirects = 0
    
    net.ipv4.ip_forward = 1

反映

  • sysctl -p

Pluto listening for IKE on udp 500 Pluto listening for NAT-T on udp 4500 [FAILED] 対応

yum install lsof

libpcap-devel のインストール

yum install libpcap-devel ppp

selinux 無効化

  • vi /etc/sysconfig/selinux
    SELINUX=disabled

サーバーの再起動

iptables 編集

  • vi /etc/sysconfig/iptables
    • 追加
      -A FORWARD -i ppp+ -j ACCEPT
      -A FORWARD -o ppp+ -j ACCEPT
      -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
      
      -A INPUT -p esp -j ACCEPT
      -A INPUT -p udp -m udp --dport 50 -j ACCEPT
      -A INPUT -p udp -m udp --dport 500 -j ACCEPT
      -A INPUT -p udp -m udp --dport 4500 -j ACCEPT
      -A INPUT -p udp -m udp --dport 1701 -j ACCEPT

/etc/ppp/chap-secrets の編集

  • vi /etc/ppp/chap-secrets
    # アカウント    接続名    パスワード    IPアドレス
    "vpn-account"    *    "vpn-password"    *

log ファイル、ひな形の作成

touch /var/log/xl2tpd.log

ルーターのポート開放

  • udp 500
  • udp 4500
  • 50
  • 1701

Windows , レジストリの変更

  • regedit
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet?\Services\PolicyAgent?
    • 新規 「DWORD値」[AssumeUDPEncapsulationContextOnSendRule? ]
    • 値 2

iPhone の設定で気をつけること

iPhone の設定で気をつけること

「全ての全ての通信を送信」のチェックがOnだと AU wifi につなげた状態では
VPN に繋がりませんでした。チェックをオフにすると繋がります。

OpenVPN

設定関連図(構成図)

Client1 -> Internet - udp -> キャリアルーター -> VPN サーバ -> Internet(全ての通信がVPNサーバ経由を目標とする)
※tcp は重い。server.conf に tcp-nodelay オプションを記入することにより改善されるが重い。
※tcp にするには、server.conf で udp を無効化しtcp を有効化。 同様に client 設定ファイルも行う。

OpenVPN Install

必要なパッケージのインストール

sudo yum -y install openssl-devel lzo-devel pam-devel gcc

OpenVPN のインストール

mkdir temp
wget http://swupdate.openvpn.org/community/releases/openvpn-2.3.12.tar.gz
  • rpm-buildのインストール
  • RPM パッケージの生成
    sudo rpmbuild -tb --clean openvpn-2.3.12.tar.gz
  • RPM パッケージからインストール
    sudo yum -y localinstall ~/rpmbuild/RPMS/x86_64/openvpn-2.3.12-1.x86_64.rpm

easy-rsa のインストール

cd ~/temp
wget https://github.com/OpenVPN/easy-rsa/archive/master.zip
unzip master.zip
  • easy-rsa をコピー
    sudo cp -r easy-rsa-master/easyrsa3/ /etc/openvpn/

証明書の作成とファイルのコピー

※以下 su - で実行

最初の1回のみ初期化

cd /etc/openvpn/easyrsa3/
./easyrsa init-pki

CA証明書・秘密鍵作成

  • CA証明書は認証局サーバで認証するための証明書 参考(認証局)(外部サイト)
    ./easyrsa build-ca
    ~
    Enter PEM pass phrase: (任意のパスワード)
    Verifying - Enter PEM pass phrase: (任意のパスワード)(確認)
    ~
    Common Name (eg: your user, host, or server name) [Easy-RSA CA]:(サイト名) 例) tar3.net
    ~
    CA creation complete and you may now import and sign cert requests.
    Your new CA certificate file for publishing is at:
    /root/easy-rsa-master/easyrsa3/pki/ca.crt
  • CA証明書のコピー
    cp pki/ca.crt /etc/openvpn/

サーバ証明書の作成

./easyrsa build-server-full server nopass
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/ca.key: (CA秘密鍵のパスワード)(上記で入力)
~
Data Base Updated
  • ファイルのコピー
    cp pki/issued/server.crt /etc/openvpn/
    cp pki/private/server.key /etc/openvpn/

DH(Diffie Hellman)パラメータ作成

  • DH(Diffie Hellman)パラメータとは?
    • [[参考 外部サイト:http://devillinuxvpn.eksd.jp/appendix_dhkeyexchange.html]]
    • 以下抜粋
      (セキュリティー確保のため共有キーを直接やりとりしないために)登場するのが、
      DH鍵交換方式。
      DH鍵交換方式では、共通鍵そのものを送受信せず、
      共通鍵を作り出す材料となる数のみを互いに交換する。
      共通鍵そのものを送受信していないのに、同じ共通鍵を持つことができ
      セキュリティーを確保することができる。
  • DH(Diffie Hellman)パラメータ作成
    ./easyrsa gen-dh
    (少し時間がかかるので終わるまで待つ(数分?)
  • ファイルのコピー
    cp pki/dh.pem /etc/openvpn/

証明書廃止リスト作成

./easyrsa build-client-full dmy nopass
~
Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/ca.key:(CA秘密鍵のパスワード)(上記で入力)
~
Write out database with 1 new entries
Data Base Updated
  • 廃止
    ./easyrsa revoke dmy
    ~
    Continue with revocation: yes   (Enter)
    ~
    IMPORTANT!!!
    
    Revocation was successful. You must run gen-crl and upload a CRL to your
    infrastructure in order to prevent the revoked cert from being accepted.
  • 作成
    ./easyrsa gen-crl
    ~
    Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/ca.key:(CA秘密鍵のパスワード)(上記で入力)
    
    An updated CRL has been created.
    CRL file: /etc/openvpn/easyrsa3/pki/crl.pem
  • ファイルのコピー
    cp ./pki/crl.pem /etc/openvpn/
  • アクセス権の変更
    chmod o+r /etc/openvpn/crl.pem

OpenVPN の設定(server.conf)

※以下 su - で実行

  • TLS認証キーの作成
    openvpn --genkey --secret /etc/openvpn/ta.key
  • サンプル設定ファイルのコピー
    cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/
  • server.conf の編集
    参考(OpenVPN日本語サイト)
    「クライアントのすべてのトラフィック(Webトラフィックを含む)をVPN経由にルーティングする」
    • vi /etc/openvpn/server.conf
      port 1194
      ~
      proto udp
       ※tcp は重い。server.conf に tcp-nodelay オプションを記入することにより改善されるが重い。
       ※tcp にするには、server.conf で udp を無効化しtcp を有効化。 同様に client 設定ファイルも行う。
      ~
      dev tun ← 確認するだけ。デフォルトで設定済み
      ~
      ca ca.crt
      cert server.crt
      key server.key  # This file should be kept secret
      ~
      dh dh.pem ← 左記のように変更する。DHパラメータ ファイル名
      ~
      server 10.8.0.0 255.255.255.0 ← VPNクライアント割当てアドレス範囲(デフォルト)
      ~
      ifconfig-pool-persist ipp.txt
      ~
      ;push "route 192.168.10.0 255.255.255.0"
      ;push "route 192.168.20.0 255.255.255.0"
      push "route 192.168.3.0 255.255.255.0" ← 追加(LAN(例:192.168.3.0/24)へのルートをVPNサーバー経由にする)
      ~
      push "redirect-gateway def1"     <- インターネットへのアクセスをVPN経由で行う
      ~
      push "dhcp-option DNS 192.168.1.1"     <- インターネットアクセス時に使用するDNSサーバ
      ~
      tls-auth ta.key 0 # This file is secret ← 行頭の;を削除してコメント解除(TLS認証有効化)
      ~
      comp-lzo
      ~
      user nobody ← 行頭の;を削除してコメント解除(OpenVPN実行権限を下げる)
      group nobody ← 行頭の;を削除してコメント解除(OpenVPN実行権限を下げる)
      ~
      persist-key
      persist-tun
      ~
      status openvpn-status.log
      ~
      log-append  /var/log/openvpn.log ← 行頭の;を削除してコメント解除(ログを/var/log/openvpn.logに記録する)
      ~
      verb 3
      ~
      management localhost 7505 ← 最終行へ追加(管理インタフェースの有効化※後述)
      ~
      crl-verify crl.pem ← 最終行へ追加(証明書廃止リストの有効化)
      ~
      最終行へ以下を追加(OpenVPN経由でSambaへのアクセスがエラーになる場合)
      fragment 1280
      mssfix 1280
      link-mtu 1400

ファイアウォール設定 (省略)

ログ ローテーション

※以下 su - で実行

  • vi /etc/logrotate.d/openvpn
    /var/log/openvpn.log {
        missingok
        notifempty
        sharedscripts
        postrotate
            systemctl restart openvpn 2>&1 > /dev/null || true
        endscript
    }

OpenVPN の起動

※以下 su - で実行

OpenVPN 起動スクリプトの編集

  • vi /etc/rc.d/init.d/openvpn
    • 行頭の # を削除してコメント解除
      echo 1 > /proc/sys/net/ipv4/ip_forward

OpenVPN の起動

service openvpn start

自動起動の設定

chkconfig openvpn on

ファイアウォール設定

設定関連図(構成図)
Client1 -> Internet -> キャリアルーター -> VPN サーバ -> Internet(全ての通信がVPNサーバ経由を目標とする)

キャリアルーターの設定

  1. 1194ポートをVPNサーバへ転送(tcp の場合は tcp ポートを。udp の場合はUDPポートを)
  2. 10.8 系へのルートの追加 10.8.0.0 のゲートウェイを VPNサーバへ

VPNサーバのファイアウォール設定(省略)

クライアント証明書の秘密キー作成

※以下 su - で実行

クライアント証明書・秘密鍵作成(パスフレーズ認証なし)

cd /etc/openvpn/easyrsa3/
./easyrsa build-client-full client1 nopass

Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/ca.key: (CA秘密鍵のパスワード入力)

Write out database with 1 new entries
Data Base Updated

クライアントの設定

Windows(iPhoneの場合も設定ファイルを作るのでこちらから)

  1. OpenVPN クライアントのダウンロード
  2. OpenVPN のインストール
  3. サンプルファイルのコピー
    • コピー元
      C:\Program Files\OpenVPN\sample-config\client.ovpn
    • コピー先
      C:\Program Files\OpenVPN\config
  4. client.ovpn の編集
    • 外からクライアントで接続する先を設定
      remote tar3.net 1194
    • クライアント証明書、秘密鍵の指定
      ca ca.crt
      cert client1.crt
      key client1.key
    • 中間者攻撃(Man-in-the-Middle)対策。※中間者攻撃についてはこちら(wikipedia)から
      remote-cert-tls server
    • TLS 認証の有効化
      tls-auth ta.key 1
    • (参考) Samba アクセス対策(追加)
      fragment 1280
      mssfix 1280
      link-mtu 1400
  5. 必要ファイルをクライアントへコピー(※必ずセキュアな接続で行うこと)
    • コピー元
      1. CA証明書
        /etc/openvpn/ca.crt
      2. クライアント証明書
        /etc/openvpn/easyrsa3/pki/issued/client1.crt
      3. クライアント秘密鍵
        /etc/openvpn/easyrsa3/pki/private/client1.key
      4. TLS認証鍵
        /etc/openvpn/ta.key
    • コピー先
      • C:\Program Files\OpenVPN\config

iPhone(Windows の場合が終わってから)

  • OpenVPN のインストール
  • iTunes 経由で iPhone へファイルを送り込む。
    • iTunes -> iPhone -> アプリ -> 下に画面をスクロールすると、ファイルを入れられる機能がある

接続確認

Windows

  • OpenVPN を起動し、タスクトレイにあるアイコンを右クリック、接続を選択
    • Windows のネットワークは、インターネット経由(テザリング)などにしておくほうが望ましい。
      自宅LANからだと名前解決、認証解決ができない場合が多い。
      また本当の意味でのテストにならない。
    • 「確認くん」というグローバルIPをチェックするサイトがある(これで接続の状況がわかる。)

iPhone

  • OpenVPN アプリの起動。
  • 緑色の + ボタンを押す。
  • あとは○をスライドし接続する。
    • iPhone の場合も、無線LAN環境ではなく、4G回線などインターネット経由が望ましい。
      理由は上記の Windows の場合と同様。
      無線LAN環境をやめるためには、現在接続設定がある全ての無線LANの接続を切断し、
      どこの無線LANにも繋がっていない環境を作ることにより可能。

疎通確認

Ping による疎通確認が可能だが、通らない場合は大抵ルートの問題。
キャリアルーターにきちんと静的ルートが書いてあるか。また間違えてないか、など
OpenVPN サーバの Push "Route ..." は関係ない場合が多く、そこをいじっても解決しない時が多い。

VPNクライアントの削除

※以下 su - で実行

  • クライアント証明書廃止
    cd /etc/openvpn/easyrsa3/
    ./easyrsa revoke client1
    ~
    Continue with revocation: yes    を入力
    ~
    Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/ca.key    <-CA秘密鍵のパスワードを入力
  • 証明書類の削除
    rm -f ./pki/issued/client1.crt ← client1証明書類削除
    rm -f ./pki/private/client1.key ← client1証明書類削除
    rm -f ./pki/reqs/client1.req ← client1証明書類削除
    ./easyrsa gen-crl ← 証明書廃止リストを作成
    ~
    Enter pass phrase for /etc/openvpn/easyrsa3/pki/private/ca.key:   <-CA秘密鍵のパスワードを入力 
    ~
    CRL file: /etc/openvpn/easyrsa3/pki/crl.pem
  • 廃止証明書のコピー
    cp ./pki/crl.pem /etc/openvpn/
  • 廃止証明書への権限付与
    chmod o+r /etc/openvpn/crl.pem

接続中クライアントの強制切断

※以下 su - で実行

  • telnet のインストール
    yum install telnet
  • OpenVPN の管理インターフェースへアクセス
    telnet localhost 7505
  • status の確認
    status
     client1,124.211.3.180:1617,6882,7144,Tue Nov 28 19:26:53 2006 ← client1が接続中
  • client1 の強制切断
    kill client1
  • status の再確認
    status
  • OpenVPN管理インタフェース終了
    exit

過去ログ

ipsec の確認 ipsec verify

  • ipsec verify
  • うちの結果はこんな感じです(^^)
    Verifying installed system and configuration files
    
    Version check and ipsec on-path                         [OK]
    Libreswan 3.7 (netkey) on 2.6.32-431.3.1.el6.i686
    Checking for IPsec support in kernel                    [OK]
     NETKEY: Testing XFRM related proc values
             ICMP default/send_redirects                    [OK]
             ICMP default/accept_redirects                  [OK]
             XFRM larval drop                               [OK]
    Pluto ipsec.conf syntax                                 [OK]
    Hardware random device                                  [N/A]
    Two or more interfaces found, checking IP forwarding    [OK]
    Checking rp_filter                                      [ENABLED]
     /proc/sys/net/ipv4/conf/default/rp_filter              [ENABLED]
     /proc/sys/net/ipv4/conf/lo/rp_filter                   [ENABLED]
     /proc/sys/net/ipv4/conf/eth0/rp_filter                 [ENABLED]
     /proc/sys/net/ipv4/conf/ppp0/rp_filter                 [ENABLED]
      rp_filter is not fully aware of IPsec and should be disabled
    Checking that pluto is running                          [OK]
     Pluto listening for IKE on udp 500                     [OK]
     Pluto listening for IKE/NAT-T on udp 4500              [OK]
     Pluto ipsec.secret syntax                              [OK]
    Checking NAT and MASQUERADEing                          [TEST INCOMPLETE]
    Checking 'ip' command                                   [OK]
    Checking 'iptables' command                             [OK]
    Checking 'prelink' command does not interfere with FIPSChecking for obsolete ipsec.conf options                 [OK]
    Opportunistic Encryption                                [DISABLED]
    
    ipsec verify: encountered 9 errors - see 'man ipsec_verify' for help
  • うちの結果はこんな感じ(^^)
    Verifying installed system and configuration files
    
    Version check and ipsec on-path                         [OK]
    Libreswan 3.7 (netkey) on 2.6.32-431.3.1.el6.i686
    Checking for IPsec support in kernel                    [OK]
     NETKEY: Testing XFRM related proc values
             ICMP default/send_redirects                    [OK]
             ICMP default/accept_redirects                  [OK]
             XFRM larval drop                               [OK]
    Pluto ipsec.conf syntax                                 [OK]
    Hardware random device                                  [N/A]
    Two or more interfaces found, checking IP forwarding    [OK]
    Checking rp_filter                                      [ENABLED]
     /proc/sys/net/ipv4/conf/default/rp_filter              [ENABLED]
     /proc/sys/net/ipv4/conf/lo/rp_filter                   [ENABLED]
     /proc/sys/net/ipv4/conf/eth0/rp_filter                 [ENABLED]
     /proc/sys/net/ipv4/conf/ppp0/rp_filter                 [ENABLED]
      rp_filter is not fully aware of IPsec and should be disabled
    Checking that pluto is running                          [OK]
     Pluto listening for IKE on udp 500                     [OK]
     Pluto listening for IKE/NAT-T on udp 4500              [OK]
     Pluto ipsec.secret syntax                              [OK]
    Checking NAT and MASQUERADEing                          [TEST INCOMPLETE]
    Checking 'ip' command                                   [OK]
    Checking 'iptables' command                             [OK]
    Checking 'prelink' command does not interfere with FIPSChecking for obsolete ipsec.conf options                 [OK]
    Opportunistic Encryption                                [DISABLED]
    
    ipsec verify: encountered 9 errors - see 'man ipsec_verify' for help

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-10-22 (月) 18:12:40 (1d)