strongswan Ubuntu 服务端修改 IKEv2 协议握手端口号

于 2024-08-07 00:18:47 发布
阅读量842 收藏 29
点赞数 7
分类专栏: IKEv2 VPN strongswan 文章标签: ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IChen86/article/details/140968100
版权

strongswan Ubuntu 服务端修改 IKEv2 协议握手端口号

下载 strongswan 源码

Ubuntu 22.04 下执行:

sudo apt-get -y update
sudo apt-get -y install libpam0g-dev libssl-dev make gcc curl
wget --no-check-certificate https://download.strongswan.org/strongswan-5.9.14.tar.gz
tar xzf strongswan-5.9.14.tar.gz

若无法下载https://download.strongswan.org/strongswan-5.9.14.tar.gz文件,则可能是这个版本变成老版本,被移动至https://download.strongswan.org/old/5.x/strongswan-5.9.14.tar.gz路径,可以修改下载路径:

wget --no-check-certificate https://download.strongswan.org/old/5.x/strongswan-5.9.14.tar.gz
tar xzf strongswan-5.9.14.tar.gz

执行完上述命令,你将得到一个名为strongswan-5.9.14的目录。

配置 strongswan

将 IKEv2 协议握手端口 4500 修改为 4496,其中 500 端口没必要修改(若有需求可自行修改):

cd strongswan-5.9.14
./configure  --enable-eap-identity --enable-eap-md5 \
             --enable-eap-mschapv2 --enable-eap-tls --enable-eap-ttls --enable-eap-peap  \
             --enable-eap-tnc --enable-eap-dynamic --enable-eap-radius --enable-xauth-eap  \
             --enable-xauth-pam  --enable-dhcp  --enable-openssl  --enable-addrblock --enable-unity  \
             --enable-certexpire --enable-radattr --enable-swanctl --enable-openssl --disable-gmp \
             --with-charon-udp-port=500 --with-charon-natt-port=4496

编译和安装 strongswan

执行以下命令:

make
sudo make install

上述命令会编译 strongswan 并将 strongswan 安装到 /usr/local目录下,其中,ipsec程序安装在 /usr/local/sbin/ipsec,配置文件放置在 /usr/local/etc/目录下。

make
sudo make install

配置防火墙

执行以下命令设置开放的端口:

cat > 10-ipsec.conf<<-EOF
net.ipv4.ip_forward=1
EOF
sudo cp 10-ipsec.conf /etc/sysctl.d/10-ipsec.conf
sudo sysctl --system
sudo iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -s 10.31.0.0/24  -j ACCEPT
sudo iptables -A FORWARD -s 10.31.1.0/24  -j ACCEPT
sudo iptables -A FORWARD -s 10.31.2.0/24  -j ACCEPT
sudo iptables -A INPUT -i eth0 -p esp -j ACCEPT
sudo iptables -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT
sudo iptables -A INPUT -i eth0 -p tcp --dport 500 -j ACCEPT
sudo iptables -A INPUT -i eth0 -p udp --dport 4496 -j ACCEPT
sudo iptables -A INPUT -i eth0 -p udp --dport 1701 -j ACCEPT
sudo iptables -A INPUT -i eth0 -p tcp --dport 1723 -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 10.31.0.0/24 -o eth0 -j MASQUERADE
sudo iptables -t nat -A POSTROUTING -s 10.31.1.0/24 -o eth0 -j MASQUERADE
sudo iptables -t nat -A POSTROUTING -s 10.31.2.0/24 -o eth0 -j MASQUERADE
sudo iptables-save > iptables.rules
sudo cp iptables.rules /etc/iptables.rules
sudo cat > iptables<<-EOF
#!/bin/sh
iptables-restore < /etc/iptables.rules
EOF
sudo cp iptables /etc/network/if-up.d/iptables
sudo chmod +x /etc/network/if-up.d/iptables

设置 strongswan 的配置文件

ipsec.conf文件和strongswan.conf文件是 strongswan 的配置,ipsec.secrets文件是 IKEv2 登录时的用户名和密码的存储文件,其中,myUserName是用户名,myUserPass是对应的密码,可复制多行,设置不同的用户名和密码。
vps_ip为必填项,需填写服务器的外网 IP 地址或者域名:

vps_ip=x.x.x.x # 填写你的服务器的 IP 地址或者域名
cat > ipsec.conf<<-EOF
config setup
    strictcrlpolicy=yes
    uniqueids=never

conn ikev2-vpn
    keyexchange=ikev2
    ike=aes256gcm16-sha256-ecp521,aes256-sha256-ecp384!
    esp=aes256gcm16-sha256,aes256gcm16-ecp384!
    rekey=no
    left=%defaultroute
    leftid=${vps_ip}
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    leftcert=server.cert.pem
    right=%any
    rightauth=eap-mschapv2
    rightsourceip=10.31.2.0/24
    rightsendcert=never
    eap_identity=%identity
    dpdaction=clear
    fragmentation=yes
    auto=add
    compress=no
    type=tunnel
    forceencaps=yes
    dpddelay=180s
    rightid=%any
    rightdns=8.8.8.8,8.8.4.4

#conn iOS_cert
#    keyexchange=ikev1
#    fragmentation=yes
#    left=%defaultroute
#    leftauth=pubkey
#    leftsubnet=0.0.0.0/0
#    leftcert=server.cert.pem
#    right=%any
#    rightauth=pubkey
#    rightauth2=xauth
#    rightsourceip=10.31.2.0/24
#    rightcert=client.cert.pem
#    auto=add

#conn ios_ikev2
#    keyexchange=ikev2
#    ike=aes256-sha256-modp2048,3des-sha1-modp2048,aes256-sha1-modp2048!
#    esp=aes256-sha256,3des-sha1,aes256-sha1!
#    rekey=no
#    left=%defaultroute
#    leftid=${vps_ip}
#    leftsendcert=always
#    leftsubnet=0.0.0.0/0
#    leftcert=server.cert.pem
#    right=%any
#    rightauth=eap-mschapv2
#    rightsourceip=10.31.2.0/24
#    rightsendcert=never
#    eap_identity=%any
#    dpdaction=clear
#    fragmentation=yes
#    auto=add

EOF
sudo cp ipsec.conf /usr/local/etc/ipsec.conf
cat > strongswan.conf<<-EOF
 charon {
        load_modular = yes
        duplicheck.enable = no
        compress = yes
        plugins {
                include strongswan.d/charon/*.conf
        }
        dns1 = 8.8.8.8
        dns2 = 8.8.4.4
        nbns1 = 8.8.8.8
        nbns2 = 8.8.4.4
}
include strongswan.d/*.conf
EOF
sudo cp strongswan.conf /usr/local/etc/strongswan.conf
cat > ipsec.secrets<<-EOF
: RSA server.pem
: PSK "myPSKkey"
: XAUTH "myXAUTHPass"
myUserName %any : EAP "myUserPass"
EOF
sudo cp ipsec.secrets /usr/local/etc/ipsec.secrets

生成秘钥

可按需修改 my_cert_cmy_cert_omy_cert_cn的赋值,vps_ip为必填项,需填写服务器的外网 IP 地址或者域名:

my_cert_c="com"
my_cert_o="myvpn"
my_cert_cn="VPN CA"
vps_ip=x.x.x.x # 填写你的服务器的 IP 地址或者域名,要与前面一致
ipsec pki --gen --outform pem > ca.pem
ipsec pki --self --in ca.pem --dn "C=${my_cert_c}, O=${my_cert_o}, CN=${my_cert_cn}" --ca --outform pem >ca.cert.pem
ipsec pki --gen --outform pem > server.pem
ipsec pki --pub --in server.pem | ipsec pki --issue --cacert ca.cert.pem \
    --cakey ca.pem --dn "C=${my_cert_c}, O=${my_cert_o}, CN=${vps_ip}" \
    --san="${vps_ip}" --flag serverAuth --flag ikeIntermediate \
    --outform pem > server.cert.pem
ipsec pki --gen --outform pem > client.pem
ipsec pki --pub --in client.pem | ipsec pki --issue --cacert ca.cert.pem --cakey ca.pem --dn "C=${my_cert_c}, O=${my_cert_o}, CN=VPN Client" --outform pem > client.cert.pem
echo "请输入 pkcs12 证书的密码(可以为空):"
openssl pkcs12 -export -inkey client.pem -in client.cert.pem -name "client" -certfile ca.cert.pem -caname "${my_cert_cn}" -out client.cert.p12
sudo cp -f ca.cert.pem     /usr/local/etc/ipsec.d/cacerts/
sudo cp -f server.cert.pem /usr/local/etc/ipsec.d/certs/
sudo cp -f server.pem      /usr/local/etc/ipsec.d/private/
sudo cp -f client.cert.pem /usr/local/etc/ipsec.d/certs/
sudo cp -f client.pem      /usr/local/etc/ipsec.d/private/

启动 ipsec 服务

cat > ipsec.service<<-EOF
# /etc/systemd/system/ipsec.service
[Unit]
Description=IPSec Service
After=network.target
 
[Service]
Type=forking
ExecStart=/usr/local/libexec/ipsec/starter --daemon charon
 
[Install]
WantedBy=multi-user.target
EOF
sudo cp ipsec.service /etc/systemd/system/ipsec.service
sudo systemctl daemon-reload
sudo systemctl enable ipsec
sudo systemctl start ipsec

完整 bash 脚本

其他配置可阅读以下完整 bash 脚本:

#! /bin/bash
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:~/bin
export PATH
#===============================================================================================
#   System Required:  CentOS6.x/7 (32bit/64bit) or Ubuntu
#   Description:  Install IKEV2 VPN for CentOS and Ubuntu
#   Author: quericy
#   Intro:  https://quericy.me/blog/699
#===============================================================================================

clear
VER=1.2.0
echo "#############################################################"
echo "# Install IKEV2 VPN for CentOS6.x/7 (3
最低0.47元/天 解锁文章
天苍野茫
关注
  • 7
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
strongswan 配置ikev2 for iOS and Android
sonflower123的博客
02-02 1万+
strongswan 高版本已支持ikev2,ios9.0以上版本的支持ikev2,Android也是高版本的部分机型支持ikev2,本人搭建的基于ikev2交换协议strongswan VPN服务器对与iOS 是免证书的(iOS VPN客户端自己写的),Android (VPN客户端是stongswan 官网提供的客户端)服务器认证是证书,客户端认证是eap模式配置文件如下 1.生成服务器证
strongswan与sangfor的ikev2配置
zdl244的博客
07-03 1274
strongswan与sangfor的ikev2配置 ikev1参考:https://blog.csdn.net/zdl244/article/details/103163256 [root@moc ~]# yum install epel-release -y [root@moc ~]# yum install strongswan -y [root@moc ~]# cat /etc/strongswan/ipsec.conf config setup # strictcrlpolicy=
SWAN之ikev2协议multi-auth-rsa-eap-sim-id配置测试
redwingz的博客
11-12 1306
本测试主要验证多重认证功能,远程用户carol,dave与网关mooon建立连接时,首先使用IKE RSA签名和相关证书进行认证;完成之后,再进行EAP-SIM认证。在测试中,由alice主机充当radius服务器,对于carol,使用文件/etc/ipsec.d/triplets.dat中的数据模拟物理SIM卡。网关moon负责转发所有的EAP消息到Radius服务器,alice同样使用定义好的...
openwrt中搭建strongswan服务器vpn支持ipsec ikev2
初学者的专栏
10-31 7923
请注意,这只是一个基本的配置示例,你可能还需要根据你的网络环境和需求进行一些额外的配置调整。强烈建议在实际部署之前阅读StrongSwan和OpenWrt的官方文档以获取更多信息和指导。编辑StrongSwan的IPsec预共享密钥配置文件。OpenWrt上StrongSwan VPN服务器的安装和配置。编辑StrongSwan的IPsec连接配置文件。编辑StrongSwan的主配置文件。打开终端或SSH连接到你的OpenWrt路由器。
配置StrongSwan支持ios9 ikev2免证书登录
热门推荐
yanzi1225627的专栏
03-25 2万+
ios9上有个ikev1,还有个ikev2,前文虽然支持ikev1,但是不支持ikev2,出于程序员的天性杂家觉得不得劲了。经过一番努力终于搞定了支持ikev2配置方法。本文前提是基于前文使用链接的脚本成功跑通了ikev1. 因为个别vps上可能遇到麻烦,因为路由iptables的问题导致ikev1连不上,所以最好一步一步好。ikev1能连上的情况下,不用担心路由的问题,只需修改/usr/loc
IKEv1&IKEv2; Between Cisco IOS and strongSwan
05-09
介绍如何配置Cisco的IPSec模块和StrongSwan连接。英文,但是很简单。主要是配置示例很清晰。
论文研究-一种基于签密的改进IKEv2协议.pdf
07-22
针对IKEv2协议存在的对通信实体的身份保护不足和系统开销大等问题,提出了一种安全高效的改进的IKEv2协议。新协议采用了基于签密的可认证密钥协商来代替D-H密钥交换,在交换秘密信息的同时实现了对协议的发起者与...
论文研究-一种改进的IKEv2协议及其形式化验证.pdf
07-22
针对IKEv2协议在系统开销和发起方身份保护方面的不足,提出了一种改进协议的方案。新的协议采用基于超椭圆曲线的Weil对技术进行数字签名认证,并且首先认证响应方身份。通过该方案,改进后的协议降低了系统开销,...
Linux下IKEv1和IKEv2协议的仿真分析.pdf
09-06
Linux下IKEv1和IKEv2协议的仿真分析.pdf
IKEv2协议的分析与改进[整理].pdf
10-12
IKEv2协议的分析与改进[整理].pdf
如何修改 Windows 内置 VPN IKEv2 协议握手端口号
最新发布
天苍野茫
08-06 1027
Windows IKEv2 为标准协议,其标准握手端口 500 和 4500 无法修改,本文提供一个方法,可修改 Windows 的 IKEv2 握手端口(以 4500 端口为例)
Strongswan 服务端配置
weixin_33720956的博客
07-07 925
为什么80%的码农都做不了架构师?>>> ...
linux ikev2 端口,ipsec使用的500端口和4500端口可以似乎被封杀了?
weixin_30145703的博客
05-11 3130
从几周前开始突然连不上了,ipsec start --nofork 前台运行打印的日志显示15[NET] received packet: from 116.253.84.217[500] to 162.243.153.127[500] (604 bytes)15[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_...
strongswan 配置ikev2 for iOS
sonflower123的博客
08-11 4656
最新版本的strongswan 目前已支持ikev2 ,对于手机客户端,ios9.0 以上自带的vpn 支持 ikev2(服务器认证方式为:证书,客户端认证方式eap-mschapv2),安卓部分自带的客户端支持ikev2,如下为支持ios9.0以上的ikev2 配置 (手机客户端个人打包) 修改 ipsec.conf配置文件 vi /etc/ipsec.conf conn eap_ios
ikev2 配置
LinuxKernelCiscoIOS的博客
04-29 5907
LAN----------site1  ---------------------INTERNET -------------------site2------------LAN  172.16.1.1     .1  202.100.1.0/24  .10          .10  61.128.1.0/24  .1      10.1.1.1 ------------------
服务器客户端ike协议,IKEv2协议简介 - 51学通信网络课堂 - 通信人值得信赖的在线交流学习平台 - Powered By EduSoho...
weixin_39692037的博客
08-10 806
IKEv2与EAP认证EAP(Extensible Authentication Protocol)是一种支持多种认证方法的认证协议,可扩展性是其最大的优点,即若想加入新的认证方式,可以像组件一样加入,而不用变动原来的认证体系。采用EAP方式认证,可以方便的继承系统原有的认证机制。IKEv2中支持采用EAP对协商的发起方(Initiator)进行第三方认证。响应方根据发起方消息中有无AUTH载荷来...
IPSec:IKEv2协议详解
hhd1988的专栏
05-17 7478
IKEv2介绍: 定义在RFC4306 ,更新与 RFC 5996. 不兼容IKEv1,IKEv1不支持认证,IKEv2支持认证,EAP。 支持NAT穿越。 IKEv2支持私密性、完整性、源认证。 工作在UDP 的 500 /4500端口。NAT-T用的是UDP4500端口。 IKE的安全机制: 身份认证 确认通信算双方的身份(对等体的IP地址或者名称),包括: 预共享密钥PSK(pre-shared key)认证。 数字签名RSA(rsa-signature)认证。
SWAN之ikev2协议compress配置测试
redwingz的博客
10-31 601
本测试主要验证远程用户carol和moon网关之间的IPComp压缩功能,两次使用ping测试隧道连接的压缩与否,使用的报文长度不同,内核不压缩长度较小的报文。测试拓扑如下: 主机配置 carol的连接配置文件:ikev2/compress/hosts/carol/etc/ipsec.conf,内容如下,主要关注compress字段设置为yes,这真是本次测试的压缩功能。另外moon主机的配置于...
关于自建IKEv2会踩的坑
Mojard的博客
09-10 7269
自建链接:https://github.com/quericy/one-key-ikev2-vpn 其中的坑: 1.ipsec 不会自启动,使用ipsec start 启动 2.每次重启,centos7 防火墙会修改成iptables 。如果在自建过程中有修改防火墙为firewalld,请把iptables关闭,firewalld启用 3.锐速和v2可能会有影响,试着关闭...
strongswan 5.3.5 ikev2 windows配置
05-10
以下是在Windows上配置IKEv2协议Strongswan 5.3.5的步骤: 1. 安装Strongswan 5.3.5: 下载并安装Strongswan 5.3.5。Strongswan 5.3.5支持IKEv2协议,可以从Strongswan官网或者其他可靠的下载网站下载。 2. 生成证书和密钥: 在Strongswan服务器上生成CA根证书和服务器证书和密钥。这可以使用openssl工具完成。将根证书和服务器证书和密钥导出到PFX格式,以便在Windows上使用。 3. 在Windows上导入证书和密钥: 双击PFX文件,按照向导完成导入过程。确保将证书和私钥都导入到计算机的“个人”证书存储中。 4. 配置Strongswan服务器: 在Strongswan服务器上,编辑/etc/ipsec.conf文件,添加以下内容: ``` conn ikev2 left=%any leftid=@your_server_ip_or_domain_name leftcert=server-cert.pem leftsendcert=always leftsubnet=0.0.0.0/0 right=%any rightid=%any rightauth=eap-mschapv2 rightsourceip=10.10.10.0/24 rightsendcert=never eap_identity=%identity auto=add ``` 其中,your_server_ip_or_domain_name应该替换为Strongswan服务器的IP地址或域名。 5. 配置Strongswan服务器的EAP: 在Strongswan服务器上,编辑/etc/ipsec.secrets文件,添加以下内容: ``` : RSA server-key.pem your_username : EAP "your_password" ``` 其中,your_username和your_password应该替换为你要使用的用户名和密码。 6. 在Windows上配置网络连接: 在Windows上,打开“网络和共享中心”,然后点击“设置新的连接或网络”。选择“连接到工作区”并按照向导继续。选择“使用我的Internet连接(VPN)”,输入Strongswan服务器的IP地址或域名,然后点击“创建”。 7. 配置强制加密: 在Windows上,打开“网络和共享中心”,然后点击“更改适配器设置”。右键单击Strongswan VPN连接并选择“属性”。在“安全”选项卡上,选择IKEv2协议并启用“加密”。点击“高级设置”,选择“使用预共享密钥”,并输入Strongswan服务器上的预共享密钥。 8. 连接: 在Windows上,点击Strongswan VPN连接并输入你的用户名和密码。点击“连接”以连接到Strongswan服务器。 以上是在Windows上配置IKEv2协议Strongswan 5.3.5的步骤。如果你遇到任何问题,请查看Strongswan文档或在Strongswan社区寻求帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值