ipsec,如何使strongswan支持net namespace

最新推荐文章于 2024-05-20 17:15:16 发布
VIP文章 最新推荐文章于 2024-05-20 17:15:16 发布
阅读量786 收藏
点赞数
文章标签: ipsec linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bigsheng2/article/details/122782152
版权

strongswan进程启动后只运行在一个net namespace中,后面ike协商出来的所有sa都只存在于一个namespace,对于一个多用户的系统,不同用户的网络可能有重叠,使用namespace做用户隔离是常用手段,对于ipsec,如果使用strongswan做ike协商就有如果使其支持namespace的问题。
开始通过修改strongswan的源码使其支持namespace,原理也比较简单,主要使strongswan于内核通讯(下policy,state表项)的netlink支持namespace即可,根据不同的conn名称,netlink在不同的namespace中创建,修改量不是很大,也运行过一段时间,但是可能是对源码的理解深度不够,除了几个bug,有些bug很难定位。
最近突发发现,使用linux的vti虚拟接口可以使ipsec支持namespace,配置简单,不需要修改源码,当然linux自己的东西肯定比改吧改吧源码稳定。
这里记录一下使用方法,ipsec的一侧(用户侧)基于policy触发协商,另一侧(网关侧)使用vti做用户隔离。

网关侧:

#创建vti接口

ip tunnel add vti-to111 mode vti local 172.16.0.196 remote 172.16.1.111 key 12

#创建namespace

ip netns add test

#设置vti接口的namespace

ip link set netns test dev vti-to111

#配置vti接口的ip地址,和相关路由

ip netns exec test bash

ip addr add 111.1.1.2/24 de
最低0.47元/天 解锁文章
bigsheng2
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
centos7搭建基于strongswan ipsec的 l2tp服务器
08-22
centos7下搭建ipsec l2tp服务器,使用strongswan来构建ipsec.
strongswan -- 配置文件strongswan.conf的读取与处理
weixin_30732825的博客
03-21 1113
  strongswan.conf为strongswan的所有组件提供配置,灵活且扩展性好。   下面简要分析下strongswan.conf的读取和处理在代码中的实现。   以charon进程的启动为例,整个library初始化的时候,会将strongswan.conf的名字存起来。见library.c之函数bool library_init(char *settings, const ch...
strongswan面向对象
wq897387的专栏
03-15 1044
strongswan是C语言实现的,但实际是面向对象的思想。
(多个)Namespace 里运行 StrongSwan
z503755743的博客
06-08 115
给定netns的/etc/netns//中找到的每个文件都会绑定挂载到其在/etc/中对应的文件上(因此必须存在于那里)。默认情况下使用/var/run,如果多个实例使用它,则会发生冲突。为了解决这个问题,请确保使用--sysconfdir=/etc和--with-piddir=/etc/ipsec.d/run配置strongSwan。对于在不同的netns之间不同的配置文件,可以将修改后的原始副本放置在/etc/netns//或其子目录中。在ns里运行strongswan
XFRM-IPsec内核实现框架
wq897387的专栏
03-20 4930
XFRM是个传输数据包(比如加密载荷payloads)的IP层框架。这个框架被用来实现IPsec协议套件(Security Association Database 和 Security Policy Database)。也可以被用来压缩IP层载荷payload。 IPsec is implemented by the XFRM (pronounced “transform”) framework, originated in the USAGI project, which aimed at pro
让win10支持IPsec
10-10
让win10支持IPsec
strongswan5.6.3
07-03
基于IPSec协议的源代码的实现,如果想好好学习了解IPsec的原理,strongswan是个很好的选择
ipsec.rar_ipsec
09-21
主要用户windows的ipsec,关闭不必要的端口,执行相应脚本,自动建立ipsec。屏蔽不安全的应用端口,防止病毒木马,排除其他占用系统资源!
IPSec.rar_ipsec
09-22
Internet 协议安全 (IPSec)
Linux 三十六章
一怀明月的博客
05-17 985
信号量 sem_init sem_destroy sem_wait sem_post 基于环形队列的CP问题 环形队列的生产者消费者模型 线程池 localtime时间戳转化 mkdir系统调用 bind绑定成员函数 懒汉饿汉单例模式 懒汉模式: 饿汉模式: 懒汉和饿汉相同点: 线程池源码实现
linuxlinux中免交互命令expect原理与应用实战
景天科技苑
05-20 1426
Expect 是基于 Tcl 的相对简单的一个免费的脚本编程工具语言,用来实现 自动和交互式任务程序进行通信,无需人的手工干预。比如 SSH、FTP 等,这些 程序正常情况都需要手工与它们进行交互,而使用 Expect 就可以模拟人手工交 互的过程,实现自动的和远程的程序交互,从而达到自动化运维的目的。
操作系统 实验13 批处理操作接口3:引用与命令替换
m0_63093530的博客
05-14 154
结果:第一个和第三个命令是错的,第二个和第四个命令是对的。echo "这是命令替换形式1...$date1"echo "$sv ++++加上另一些字符!2、输出字符串“China's panda”命令:echo China\'s panda。6、将命令date执行结果赋予变量date1。7、将命令date执行结果赋予变量date2。1、输出字符串“$Dollar”命令:echo \$Dollar。命令:date2=$(date)命令:date1=`date`
Linux:网络管理命令之ss
hhd1988的专栏
05-17 810
Linux:网络管理命令之ss
Linux的基础指令
asdssadddd的博客
05-14 945
常用选项:-f 或 --force 强行复制文件或目录, 不论目的文件或目录是否已经存在.-i 或 --interactive覆盖文件之前先询问用户.-r递归处理, 将指定目录下的文件与子目录一并处理. 若源文件或目录的形态, 不属于目录或符号链接, 则一律视为普通文件处理.-R 递归处理, 将指定目录下的文件及子目录一并处理.
Linux - 整理工作中常用的 Linux 命令(目录、文件、系统、进程、网络)持续更新~
CYK_byte的博客
05-16 949
整理了一下工作中常用的 Linux 命令(目录、文件、系统、进程、网络)
Linux mkdir命令参数和选项
2301_78660211的博客
05-16 772
mkdir命令是Linux操作系统中一个非常重要的命令,它可以帮助我们创建新的目录。在这篇博客中,我们介绍了mkdir命令的基本用法、参数、选项,以及mkdir命令的实际应用。希望这篇博客能帮助读者更好地理解和使用mkdir命令。
Kubernetes——命令指南
一坨小橙子的博客
05-13 773
Kubernetes命令指南
linux】详解vim编辑器
最新发布
2301_79796701的博客
05-20 455
通用的配置再插入模式下就像一个记事本一样,如果要写代码,写文本会很不舒服,而用户可以额外的为vim添加其他配置。在目录 /etc/ 下面,有个名为vimrc的文件,这是系统中公共的vim配置文件,对所有用户都有效。文件保存或退出,也可以进行文件替换,找字符串,列出行号等操作。」号表示一个数字,在冒号后输入一个数字,再按回车键就会跳到该行了,如输入数字。」键,再输入您想寻找的字符,如果第一次找的关键字不是您想要的,可以一直按「n。」键,再输入您想寻找的字符,如果第一次找的关键字不是想要的,可以一直按。
strongswan 连接 ipsec v2
05-10
要使用 strongSwan 连接 IPSec v2,您需要在 strongSwan 上配置 IPSec v2 的协议和交换机(IKEv2)。以下是一个简单的示例 strongSwan 配置文件: ``` # strongswan.conf - strongSwan configuration file # 加载 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值