FreeS/WAN によるVPN Masquerade の実験
第2回 インストール前の下準備
Linux-eden >> 第2回 インストール前の下準備

 

  • Linux の FreeS/WAN へのデフォルトでの対応状況

     Linux で IPSec を使用するには、カーネルレベルでの対応が必要ですが、RedHat Linux 8.0 を始めとするいくつかのディストロでは、残念ながら、標準では FreeS/WAN に対応したカーネルを搭載していません。

     この場合、RPMインストールしない場合は、カーネルパッチを当てて、再構築する作業が必要になります。

     一方で、

    • SuSE Linux
    • Conectiva
    • Mandrake
    • Debian ( Version3.0 〜 )
    • the Polished Linux Distribution
    • Best Linux

     などのディストロでは、デフォルトで FreeS/WAN が入っているとの事です。
     実際に確認はしていませんが、おそらく、最初から使えたり、もしくは、インストールして使用する形になるのでしょう。

    参考文献
    本家サイト「Products containing FreeS/WAN


 

  • インストール方法の選択

     FreeS/WANのインストールには

    ・RPM からのインストール
    ・ソース からのインストール

     の2つの方法があります。

     私も動作確認まではしていませんが、RedHat 8.0(Psyche カーネル)用には、幸いRPMファイルが準備されていますので、楽なのがいいなら

    # uname -r

     コマンドでカーネルのバージョンを確認し、該当するRPMパッケージを

    ftp://ftp.xs4all.nl/pub/crypto/freeswan/binaries/RedHat-RPMs/

     からダウンロードし、本家の文献「Installing FreeS/WAN」にしたがってインストールする手もあります。

     ただ、この連載では、FreeS/WANにさまざまなパッチ(X.509 対応パッチなど)を適応しなければならないケースを考慮して、面倒でもソースファイルからのインストールを選択します。

    参考文献
    本家FreeS/WANサイト「Installing FreeS/WAN





  • カーネルの再構築

     RedHat8.0 に FreeS/WANをソースからインストールする場合、事前にカーネルの再構築をする必要があります。
     これは、FreeS/WANインストーラが Kernel のコンフィギュレーション情報を必要とするためで、RedHat8.0では、一度もカーネルの再構築をしていないと、/usr/src/linux-2.4 下に.config ファイルが生成されていなかったり、その他のヘッダファイルも生成されていないためです。
     過去に1度でもカーネルの再構築をしていて、/usr/src/linux-2.4 下に、現在のkernel コンフィグレーションが記録されているなら、この作業は必要ありませんが、そうでない場合、カーネル再構築は必要な作業であり、省略できません

     慣れてる方ならいつもどおりですが、慣れてない方は要注意です。
     RedHat 8.0 では、make clean の代わりに make mrproper を使用しないとうまく行きません。
     make mrproper は、make cleanよりも徹底的にファイルを削除しますので、.config ファイルも削除してしまいます。
     必要があれば、/usr/src/linux-2.4/.config ファイルのバックアップを取っておきましょう。
     バックアップの必要のない方は、下でいけるでしょう。

    # cd /usr/src/linux-2.4
    # make clean            ・・・・ RedHat8.0 では、# make mrproper
    # make menuconfig
    # make dep
    # make
    # make bzImage
    # make modules
    # make modules_install
    # make install
    # shutdown -r now

     
     必要があれば、Kernel-HOWTO を参照するなり、Grubの設定の確認をするなりしてください。

     カーネルの再構築後、再起動をしたら、

    # ln -s /usr/src/linux2.4 /usr/src/linux

     で、シンボリックリンクを作成しましょう。FreeS/WANは、別にカーネル2.4専用ではありませんから、カーネルソース参照のため、/usr/src/linux に、Linuxソースディレクトリへのシンボリックリンクが必要です。


    参考文献
    本家FreeS/WANサイト「Not everyone needs to worry about kernel configuration
    Linux HOWTO 「Kernel-HOWTO」
     






  • ソースファイルの取得

      ソースからFreeS/WANをインストールする場合、以下の選択肢があります。

    ・基本的な FreeS/WAN
    ・基本的な FreeS/WAN + ユーザーによるパッチ
    ・パッチ適応済み非公式バージョン FreeS/WAN。(X.509 証明書の認証や、SAの削除。)

     ここでは、「基本的なFreeS/WAN」を選択します。

    ftp://ftp.xs4all.nl/pub/crypto/freeswan

     からソースファイルをダウンロードしましょう。



  • シグネチャの確認

    ftp://ftp.xs4all.nl/pub/crypto/freeswan

    から、

    freeswan-sigkey.asc

    をダウンロードし、

    pgp -ka freeswan-sgkey.asc

    で、キーリングに追加、

    pgp freeswan-1.99.tar.gz.sig freeswan-1.99.tar.gz

    で、シグネチャのチェックをします。
    以下のようなメッセージが確認できればOKです。

    Good signature from user "Linux FreeS/WAN Software Team (build@freeswan.org)".
    Signature made 2002/06/26 21:04 GMT using 2047-bit key, key ID 46EAFCE1



  • 各種パッチのダウンロード

     今回は、あえてパッチ当てまではしませんが、あなたが将来マジメに IPSec を使おうとするならば、X.509 証明書サポートが欲しくなるでしょう。
     必要と思われるパッチについては、このあたりの段階でダウンロードするなどしておくといいでしょう。

    余談:X.509 証明書パッチについて

     X.509 形式の証明書対応により、IPSec の鍵管理をPKIへ統合することが可能になります。
    既に、PKIインフラをお持ちの方も多いと思いますので、個人的には、FreeS/WAN にデフォルトで入れてもいい機能のような気がしますが。

     このパッチは、"StrongSec GmbH" 社 が こちらのページから 配布しています。
     X.509対応バージョンは、PKCS#12 などから秘密鍵を直接読むことはできなくて、fswcert という独自ツールで、秘密鍵を事前に切り出す必要があるそうです。
     fswcert は、同社のこのページの下の方からダウンロードできます。

     このパッチを使ったインストール手順と Windows との接続方法については、Nate Carlson さんがこちらで紹介しています。


     

    ここまでで、インストールの下準備は完了です。
    次のページからはいよいよインストールを開始します。


2/11

 

Linux-eden へ
戻る

ひろもの国へ戻る
このページは、現状ありのままの状態で提供させていただいております。本ページの情報はあくまでも自己責任の元にご利用ください。
お問い合わせなどは、meiweng2@yahoo.co.jpまでお願いいたします。