gvpe 安裝操作

由於也有在用gvpe來作vpn site to site，怕久了忘記，所以寫來備忘，

參考網路上兩位前輩的設定....實作是沒問題的，

也可看gvpe中的README..

假設有二台主機，分別為Private1及Private2，先在Private1操作

1. wget http://ftp.gnu.org/gnu/gvpe/gvpe-2.24.tar.gz
2. tar -zxvf gvpe-2.24.tar.gz -C /usr/src/
3. ./configure ( ./configure --enable-digest=sha512 --enable-cipher=aes-256 )
4. make
5. make install
6. mkdir /etc/gvpe 目錄
7. create gvpe.conf 內容如下，
   rekey = 300
   keepalive = 300
   mtu = 1500
   ifname = vpn0
   ifpersist = no
   inherit-tos = yes
   compress = yes
   connect = always
   loglevel = notice
   enable-udp = yes
   enable-tcp = yes
   enable-rawip = no
   enable-icmp = yes
   node= Private1
   hostname = 1.2.3.4 <Public IP>
   node= Private2
   hostname = 5.6.7.8 <Public IP>
8. create if-up 內容如下
   #!/bin/bash
   ip link set "$IFNAME" address "$MAC" txqlen 1000 up
   [ "$NODENAME" = "Private1" ] && ip addr add 10.100.1.1 broadcast 10.100.1.255 dev "$IFNAME"
   [ "$NODENAME" = "Private2" ] && ip addr add 10.100.2.1 broadcast 10.100.2.255 dev "$IFNAME"
   ip route add 10.100.0.0/16 dev "$IFNAME"
   IN_NIC="eth0"   #eth0是指內部網段
   IN_IP=`ifconfig "$IN_NIC"|grep -w "inet addr"|cut -d':' -f2|cut -d' ' -f1`
   IN_IP_SUB=`echo "$IN_IP"|cut -d. -f3`
   for i in 1 2
   do
   if [ "$i" = "$IN_IP_SUB" ]
   then
   continue
   fi
   route add -net 10.100.$i.0 netmask 255.255.255.0 gw 10.100."$i".1
   done
9. gvpectrl -c /etc/gvpe -g
10. 將gvpe.conf及if-up拷貝到Private2 主機的 /etc/gvpe下
11. 將pubkey目錄也是整個拷到Private2 主機的 /etc/gvpe下
12. cp /etc/gvpe/hostkeys/Private1 /etc/gvpe/hostkey
13. 而Private1主機中 hostkeys目錄下的Private2 則拷到Private2主機的 /etc/gvpe/hostkey
14. 另Private2主機要重複上面1到6步驟
15. 在Private1 主機上執行 /usr/local/sbin/gvpe -c /etc/gvpe gvpe -D -l info Private1
16. 在Private2 主機上執行 /usr/local/sbin/gvpe -c /etc/gvpe gvpe -D -l info Private2
17. 如有成功會出現connection established
18. 互ping 對方的10.100.1.1及10.100.2.1應會是通的

附註說明

製造金鑰

# gvpectrl -c /etc/gvpe -g

這個產生key的指令會略過已經存在的Key

啟動gvpe

# /usr/local/sbin/gvpe -c /etc/gvpe -D -L -linfo Private2

Private2是指node

看Configuration

#gvpectrl -c /etc/gvpe -s

檢查是否通

tcpdump -i vpn0 -vv

vpn0是gvpe.conf所定義的虛擬網卡名稱

參考引用自:

請問有大大會用gvpe嗎?
VPN軟體的另一種選擇：gvpe 的設定檔if-up簡單設定
VPN軟體的另一種選擇：gvpe 的監控機制
VPN軟體的另一種選擇：gvpe 增加一個新的node
Usingthe GNU Virtual Private Ethernet  ( 這個說明的圖解很無敵)