IPsec in linux-2.6(一)

最新推荐文章于 2023-04-22 22:45:30 发布
最新推荐文章于 2023-04-22 22:45:30 发布
阅读量2.2k 收藏 2
点赞数
文章标签: transformation networking algorithm authentication 通讯 sockets
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/open_free_share/article/details/5159112
版权

1. 理解 IPsec

IPsec 是一种建立在 Internet 协议 (IP) 层之上的协议。 它能够让两个或更多主机以安全的方式来通讯 (并因此而得名)。
IPsec 包括了两个子协议:
    *Encapsulated Security Payload (ESP) , 保护 IP 包数据不被第三方介入, 通过使用对称加密算法 (例如 Blowfish、 3DES)。
    * Authentication Header (AH) , 保护 IP 包头不被第三方介入和伪造, 通过计算校验和以及对 IP 包头的字段进行安全散列来实现。随后是一个包含了散列值的附加头, 以便能够验证包。

ESP 和 AH 可以根据环境的不同, 分别或者一同使用。
IPsec 既可以用来直接加密主机之间的网络通讯 (也就是 传输模式 ); 也可以用来在两个子网之间建造 “虚拟隧道” 用于两个网络之间的安全通讯 (也就是 隧道模式 )。 后一种更多的被称为是 虚拟专用网 (VPN) 。

2. Linux 下测试

我们这里需要下载ipsec-tools 来测试,主页:
http://ipsec-tools.sourceforge.net/

 

kernel 的配置选项:

Networking support (NET) [Y/n/?] y
  *
  * Networking options
  *
  PF_KEY sockets (NET_KEY) [Y/n/m/?] y
  IP: AH transformation (INET_AH) [Y/n/m/?] y
  IP: ESP transformation (INET_ESP) [Y/n/m/?] y
  IP: IPsec user configuration interface (XFRM_USER) [Y/n/m/?] y

Cryptographic API (CRYPTO) [Y/n/?] y
  HMAC support (CRYPTO_HMAC) [Y/n/?] y
  Null algorithms (CRYPTO_NULL) [Y/n/m/?] y
  MD5 digest algorithm (CRYPTO_MD5) [Y/n/m/?] y
  SHA1 digest algorithm (CRYPTO_SHA1) [Y/n/m/?] y
  DES and Triple DES EDE cipher algorithms (CRYPTO_DES) [Y/n/m/?] y
  AES cipher algorithms (CRYPTO_AES) [Y/n/m/?] y

 

我们测试用例,假设有两台主机:
28.224.158.202128.224.165.156

通过ipsec 来建立通讯通道。
128.224.158.202 主机上:
创建/etc/setkey.conf配置文件,其内容如下:

#!/sbin/setkey -f
flush;
spdflush;

# AH
add 128.224.165.156 128.224.158.202 ah 15700 -A hmac-md5 "1234567890123456";
add 128.224.158.202 128.224.165.156 ah 24500 -A hmac-md5 "1234567890123456";

# ESP
add 128.224.165.156 128.224.158.202 esp 15701 -E 3des-cbc "123456789012123456789012";
add 128.224.158.202 128.224.165.156 esp 24501 -E 3des-cbc "123456789012123456789012";

spdadd 128.224.158.202 128.224.165.156 any -P out ipsec
           esp/transport//require
           ah/transport//require;

spdadd 128.224.165.156 128.224.158.202 any -P in ipsec
           esp/transport//require
           ah/transport//require;

执行以下命令:
 1. setkey -f /etc/setkey.conf
 2. setkey -D
 3. setkey -DP

128.224.165.156 主机上:
创建/etc/setkey.conf配置文件,其内容如下:
#!/sbin/setkey -f
flush;
spdflush;

# AH
add 128.224.165.156 128.224.158.202 ah 15700 -A hmac-md5 "1234567890123456";
add 128.224.158.202 128.224.165.156 ah 24500 -A hmac-md5 "1234567890123456";

# ESP
add 128.224.165.156 128.224.158.202 esp 15701 -E 3des-cbc "123456789012123456789012";
add 128.224.158.202 128.224.165.156 esp 24501 -E 3des-cbc "123456789012123456789012";

spdadd 128.224.165.156 128.224.158.202 any -P out ipsec
           esp/transport//require
           ah/transport//require;

spdadd 128.224.158.202 128.224.165.156 any -P in ipsec
           esp/transport//require
           ah/transport//require;

执行以下命令:
 1. setkey -f /etc/setkey.conf
 2. setkey -D
 3. setkey -DP

128.224.165.156 主机上执行:
1. ping 128.224.158.202&
2. tcpdump | grep 128.224.158.202
可以看到如下结果:
01:30:06.384668 IP octeon > 128.224.158.202:
AH(spi=0x00003d54,seq=0x399): ESP(spi=0x00003d55,seq=0x399), length 88
01:30:06.385113 IP 128.224.158.202 > octeon:
AH(spi=0x00005fb4,seq=0x1e7): ESP(spi=0x00005fb5,seq=0x1e7), length 88
01:30:07.389619 IP octeon > 128.224.158.202:
AH(spi=0x00003d54,seq=0x39a): ESP(spi=0x00003d55,seq=0x39a), length 88
01:30:07.394661 IP 128.224.158.202 > octeon:
AH(spi=0x00005fb4,seq=0x1e8): ESP(spi=0x00005fb5,seq=0x1e8), length 88
01:30:08.393231 IP octeon > 128.224.158.202:

IP octeon 的ip 就是128.224.165.156。
由tcpdump 抓的包可以看出:128.224.165.156
发给128.224.158.202的包全部在IP pakcet 头加了 AH 和 ESP 加密信息,而且两者之间可以正常通讯。

另外如果执行:setkey -f /etc/setkey.conf 时,碰到这样的错误提示:pfkey_open: Address family not supported by protocol
一般就是由于没有加载Kernel IPsec 相关的modlue.如果IPsec相关的代码被编译成module 形式,用需要手动加载相关ipsec module:
modprobe af_key

 

参考:

1. http://www.ipsec-howto.org/

2. http://www.shorewall.net/IPSEC-2.6.html

3. http://zh.wikipedia.org/wiki/IPsec

 

open_free_share
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
openwrt-luci-ipsec:openwrt-luci-vpnd
07-11
openwrt-luci-vpnd openwrt-luci-vpnd
Fingerprint指纹识别学习
热门推荐
csh86277516的博客
03-31 3万+
Fingerprint模块架构图如下,这里分为application,framework,fingerprintd和FingerprintHal这几个部分,不涉及指纹的IC库和驱动这部分,这部分逻辑由指纹厂商来实现,目前了解的并不多。  二、Fingerprint framework初始化流程 在系统开机的时候,会启动各种Service,包括FingerprintService。从
Linux内核中PF_KEY协议族的实现(1)
dxphjt的专栏
05-13 332
Linux内核中PF_KEY协议族的实现(1) 本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。 msn: [email protected] 来源:http://yfydz.cublog.cn 1. 前言 在Linux2.6内核中自带了PF_KEY协议族的实现,这样就不用象2.4那样打补丁...
如何找SSDT中精准的
weixin_34235135的博客
08-24 196
2019独角兽企业重金招聘Python工程师标准>>> ...
GT官方教程
GSLS
08-18 1万+
GT库技术共享讨论群[QQ:814506562]
使用racoon setkey搭建IPsec环境
终身学习的程序猿
06-18 1万+
使用racoon setkey搭建IPsec VPN环境 转载请注明出处:http://blog.csdn.net/rosetta 以前的博文写的都是基于openswan klips的IPsec实现及环境搭建,没有使用过Linux自带的netkey,现基于Linux自带的netkey搭建IPsec VPN环境,并参考UNPV13e写一个应用层程序倾泻安全联盟。
Ipsec Openswan 26sec等基础知识扫盲
bytxl的专栏
09-09 2809
http://blog.csdn.net/rosetta/article/details/7547308 最近在整理openswan clips,linux netkey等 方面的东西. 理清openswan什么版本支持ipv6,pluto和racoon作用等等知识 . 希望对研究ipsec,vpn方面的朋友有帮助.整理不足之处还请指正. 问题提出:什么是xfrm,racoon
通过Docker安装L2TP
qq_44539351的博客
03-10 7286
一. 获取镜像 # docker pull fcojean/l2tp-ipsec-vpn-server 二. 创建一个vpn.env文件 # vim /home/vpn.env VPN_IPSEC_PSK=这里填一个随机字符串,随便输吧,32位以内 VPN_USER=这里输入vpn的登录名 VPN_PASSWORD=这里输入vpn的登录密码 三. 容器启动之前,在宿主机中先执行 # sudo modprobe af_key 四.运行容器 docker run \ --name l2tp-vp
异常Address family not supported by protocol family
lihuayong的专栏
07-14 8352
今天编写好ICE的一个实例,一个很简单的Hello World例子,在myeclipse中运行的时候,出现了一个异常,异常信息如下: Ice.SocketException     error = 0 at IceInternal.Network.doBind(Network.java:249) at IceInternal.TcpAcceptor.(TcpAcceptor
ipsec VPN 技术介绍(基础篇一)
BUG_MeDe的博客
04-22 5980
IPsec的一些基础知识讲解
基于Linux 2.6版本的IPSec 实现研究
02-28
基于Linux 2.6版本的IPSec 实现研究
基于Linux2.6内核的IPSec实现研究.pdf
09-06
基于Linux2.6内核的IPSec实现研究.pdf
Linux内核2.6版中IPSec实现的研究.pdf
09-07
Linux内核2.6版中IPSec实现的研究.pdf
Linux 2.6内核中IPSec支持机制分析.pdf
09-06
Linux 2.6内核中IPSec支持机制分析.pdf
框架搭建内容合成的描述
04-19
框架搭建内容合成的描述
【Godot4自学手册】第三十八节给游戏添加音效
最新发布
04-19
【Godot4自学手册】第三十八节给游戏添加音效
人工智能BBSO算法,MATLAB实现,很基本的人工智能算法,里面有很多源程序
04-19
人工智能BBSO算法,MATLAB实现,很基本的人工智能算法,里面有很多源程序 (Artificial intelligence bbso) 文件列表: BBSO\alea.m (99, 2013-11-02) BBSO\alea_normal.m (532, 2013-11-02) BBSO\alea_sphere.m (483, 2013-11-02) BBSO\BBSO.m (5647, 2015-05-03) BBSO\BSO.asv (3521, 2013-11-02) BBSO\calef.m (375, 2014-02-08) BBSO\cauchy.txt (1282, 2013-11-02) BBSO\cauchy.zip (9607, 2013-11-02) BBSO\cauchycdf.m (1225, 2013-11-02) BBSO\cauchyfit.m (5565, 2013-11-02) BBSO\cauchyinv.m (1379, 2013-11-02) BBSO\cauchypdf.m (1221, 2013-11-02) BBSO\cauchyr
人工智能神经网络.ppt
04-19
人工智能神经网络.ppt
Free Download Manager CRX 3.0.59 for Chrome.crx
04-19
Free Download Manager 谷歌浏览器插件
ipsec linux启用
12-06
为了在Linux上启用IPSec,您需要执行以下步骤: 1.安装必要的软件包。在大多数Linux发行版中,您可以使用以下命令安装所需的软件包: ```shell sudo apt-get install strongswan ``` 2.配置IPSec。您需要编辑strongSwan的配置文件,该文件通常位于/etc/ipsec.conf。您可以使用以下命令打开该文件: ```shell sudo nano /etc/ipsec.conf ``` 然后,您需要添加以下内容: ```shell conn myvpn keyexchange=ikev2 left=%defaultroute leftauth=pubkey leftcert=server.crt [email protected] leftsubnet=0.0.0.0/0 right=vpn.example.com rightauth=pubkey [email protected] rightsubnet=10.0.0.0/24 auto=start ```***您需要为服务器和客户端生成证书,并将它们放在正确的位置。您可以使用以下命令生成证书: ```shell sudo ipsec pki --gen --type rsa --size 4096 --outform pem > server.key sudo ipsec pki --pub --in server.key --type rsa | sudo tee server.pub sudo ipsec pki --issue --lifetime 730 --cacert ca.crt --cakey ca.key --in server.pub --type rsa --dn "CN=vpn.example.com" --san vpn.example.com --flag serverAuth --outform pem > server.crt ```***可以使用以下命令启动IPSec: ```shell sudo ipsec start ``` 现在,您的Linux系统已经启用了IPSec。如果您想验证它是否正在运行,您可以使用以下命令: ```shell sudo ipsec status ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值