在 CentOS 5.x 上使用 vpnc
vpnc 这个程序是用来连接到 CisCO VPN 的。虽然 Cisco 提供一个 Linux 的客户端,但编译它的时候,尤其是在 64 位元或多内核的系统上,经常会出现问题。此外,vpnc 可以很快便安装妥,亦很容易设置。
首先请安装及启用 rpmforge 软件库。一旦完成后,你便可以这样安装 vpnc
yum -y install vpnc
这样做会安装 vpnc,创建一个 /etc/vpnc 目录及安装 pcf2vpnc 脚本。/etc/vpnc 这个目录内藏有一个缺省的 vpnc.conf 范本,及 vpnc-script。这个目录及文件属於 root。vpnc-script 必须被设置为可执行的。请以 root 的身份或权限执行
chmod 700 /etc/vpnc/vpnc-script
接著创建一个自定的 vpnc.conf 文件。vpnc 缺省会先在 /etc/vpnc/ 内找寻一个名叫 defaults.conf 文件。如何找不到,它会找寻 /etc/vpnc.conf。用户可以选择将自定档命名为 vpnc.conf 并放置在 /etc 内,或者给它一个独特的名称并放置在 /etc/vpnc 内。这个文件的扩展名必须是 .conf,例如 mycompany.conf。如果你选用一个独特的名称,当你使用 vpnc 时,这个 .conf 文件就是它的参数,但你须要删除扩展名,因此所执行的指令是
vpnc company
在这个样例中,自定的配置文件名叫 vpnc.conf 而且被放置在 /etc 内。你可以将 /etc/vpnc 内的样例 vpnc.conf 换名来避免有所混淆,但程序本身并不会尝试使用 /etc/vpnc 内的缺省 vpnc.conf。它只会在 /etc 内找寻 vpnc.conf。
下一步是创建自定的 .conf 档。你的公司应该为你提供了一个 .pcf 档。这个文件内含有数项数据,包括:群组编号、群组口令、及服务器的地址。它可能会藏有其它信息,例如:你的用户名称及口令、及 IKE 验证模式。
要创建一个供 vpnc 使用的 .conf 档,请使用 pcf2vpnc 脚本。如何所提供的 pcf 文件名叫 company.pcf,指令便是
pcf2vpnc company.pcf vpnc.conf
你会得到一个信息,表示它因为不能执行 cisco-decrypt 而将口令以混淆的形式加在文件内。这是没有问题的。cisco-decrypt 这个脚本原来可以解读 pcf 档内加密了的口令,但 vpnc 可以直接使用加密了的口令。另外还有一个信息是关於 vpnc.conf 拥有 100664 的权限,以及一个关於修正权限的信息。请照著做。假设你是以 root 的身份或权限来做上面的步骤,而文件属於 root。如果这不属实,请先更改它的拥有者。
chown root vpnc.conf
接著设置只有 root 能读写它。
chmod 600 vpnc.conf mv vpnc.conf /etc/
如果你的个别户用名称及口令存在於 pcf 档内,它们亦会被包含到新创建的 vpnc.conf 文件内。这是十分罕见的,而文件内最常见的是以下两行
# Xauth username <your username> # Xauth password <your password>
你可以选择加入用户名称及口令(删除这两行的注释),或者假若你较喜欢每次输入用户名称及口令,将它们改为
Xauth interactive
由於 Cisco VPN 或许会提供自已的 DNS 服务器,vpnc-script 会将 /etc/resolv.conf 备份并取代这个文件。如无意外的话,当你断线后,它会将备份了的 /etc/resolv.conf 撤消,但读者可能会想在执行指令前自行复制,以防万一。
cp /etc/resolv.conf /etc/resolv.conf.orig
一旦你完成这个步骤后,你便可以输入以下指令来使用程序(以 root 的身份或权限)
vpnc
当你不再需要 vpnc 工作阶段时,请这样断线
vpnc-disconnect
断线后,读者可能会想确定 vpnc-script 已经撤消了 /etc/resolv.conf。如何它未能这样做,而你又遁照上面的推荐将 resolv.conf 备份,你可以手动式地将它放回原处
cp /etc/resolv.conf.orig /etc/resolv.conf
这个步骤一般没有必要,除非你用完后忘记了断线,导致工作阶段超时,因而你公司(很可能是内部)的名称服务器被遗留在 Cisco VPN 所创建的 resolv.conf 内。
Translation of revision 5