ipsec 连接删除问题

最新推荐文章于 2023-12-11 22:22:40 发布
最新推荐文章于 2023-12-11 22:22:40 发布
阅读量2k 收藏
点赞数
分类专栏: ipsec与openswan
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bytxl/article/details/49635213
版权

ipsec 连接如果配置了多个子网,需要使用以下命令逐个删除子网连接:

sudo ipsec auto --delete to206/3x2

否则会导致某些子网连接没断开、SA等删除不干净等问题。

同时可以修改源码,在被动端修改断线检测(DPD),当被动端检测到对端断线时,调用p2_dpd_outI1函数,然后dpd_timeout函数,进而调用delete_states_by_connection函数,把所有的连接与SA删除干净。


bytxl
关注
专栏目录
IPSec介绍
NEUChords的博客
06-20 24万+
IPSec VPN介绍(上)1.IPSEC协议簇安全框架a.IPSec VPN简介b.IPSec协议族2.IPSEC工作模式a.传输模式(Transport mode)b.隧道模式(Tunnel mode)3.IPSEC通信协议a.AH协议b.ESP协议c.AH和ESP对比4.IPSEC建立阶段a.IKE协商阶段 1.IPSEC协议簇安全框架 a.IPSec VPN简介 IPSec(Interne...
IPSEC_AUTO(8) - 控制IPsec连接
Rain
07-24 1808
IPSEC_AUTO NAME ipsec_auto - 控制IPsec连接 SYNOPSIS ipsec auto [--show] [--showonly] [--asynchronous]           [--config configfile] [--verbose] operation conne
操作:IPSec连接配置
weixin_44664352的博客
06-17 3635
实训目的: 掌握IPSec连接配置。 相关知识点: 1.IPSec 互联网安全协议(Internet Protocol Security,缩写为IPSec),是一个协议包,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。 主要由以下协议组成: 一、认证头(AH),为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护。 二、封装安全载荷(ESP),提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow)机密性。 三、安全关联
【隧道篇 / IPsec】(7.0) ❀ 04. 快速删除IPsec安全隧道 ❀ FortiGate 防火墙如何
防火墙技术专栏
04-02 2289
根据前面的学习,我们知道IPsec向导会建立各种对象、路由以及策略,那么我们想要彻底的删除IPsec隧道,肯定要把这些对象、路由、策略先删除,才能删除IPsec隧道。如果隧道很多的话,一个一个的找会很麻烦,那么有没有什么快速的方法呢?...
清空VPS的安全策略的ipsec
diedangxiang4092的博客
12-13 1481
修复方法: 登录到节点的CMD下: 使用vzlist -a 找到出问题的vps的ID号,然后 vzctl enter VPSID 在该vps的控制台下输入如下两个命令停止网络过滤: net stop ipnat net stop policyagent 执行如下命令清空所有ipsec列表(对vps无影响): netsh ipsec static del all 执...
【隧道篇 / IPsec】(5.6) ❀ 04. 删除向导建立的IPsec ❀ FortiGate 防火墙
防火墙技术专栏
09-06 4901
【简介】我们已经知道向导可以快速建立IPsec,在某些情况下需要删除IPsec,你知道要删除哪些吗? IPsec 关联 在飞塔防火墙,能不能删除某样东西,先要看是不是有关联。 ① 登录FortiGate 60E防火墙,选择菜单【虚拟专网】-【IPsec 隧道】,可以看到隧道60E-100D是停用状态,相关联有个数字4,说明这条隧道......
使用了星外的Ipsec如何允许SQL 2000远程连接
10-01
使用SQL Server Management Studio(SSMS)或其他SQL客户端尝试从远程机器连接到SQL Server 2000,以确认IPSec策略已正确配置并允许远程连接。 9. **考虑安全处理**: 在链接中提到的网站...
使用了星外的Ipsec如何允许MySQL远程连接
01-20
您可能感兴趣的文章:navicat无法远程连接mysql的解决方法mysql开启远程连接(mysql开启远程访问)详解远程连接Mysql数据库的问题(ERROR 2003 (HY000))配置mysql允许远程连接的方法远程连接mysql 授权方法详解远程连接...
ipsec2k lib-开源
07-11
IPsec是一种网络安全协议,用于在IP网络上提供保密性和数据完整性,通常用于建立安全的远程访问和站点到站点的连接。 该库的特色在于它的独立性,它并不依赖于特定的管理工具,如Microsoft Management Console (MMC...
IPSec 域间策略常见问题
友人A的博客
07-10 554
当对IPSec进行调试时,如果IPSec的统计信息比较多不便于查看,可以执行以下操作清除IPSec统计信息。如果用户需要对安全策略重新配置,为了使新配置的安全策略生效,可以执行下列操作清除IPSec安全联盟。如果用户需要对安全策略重新配置,为了使新配置的安全策略生效,可以执行下列操作清除IKE安全联盟。因为此时只有USGA配置了域间安全策略,USGC没有配置。假设其他配置都正确,只有域间安全策略配置异常情况下。因为此时只有USGA和USGC都配置了域间安全策略。
XFRM 设备 - 卸载 IPsec 计算
最新发布
maimang1001的专栏
12-11 443
IPsec是一种保护网络流量的有用功能,但计算成本很高:一个10Gbps 链路可以很容易地降低到 1Gbps 以下,具体决于流量和链路配置。幸运的是,有些网卡提供硬件支持的IPsec卸载( offload),可以从根本上提高吞吐量并降低 CPU 利用率。XFRM设备接口允许网卡驱动程序向堆栈提供对硬件卸载(hardware offload)的访问。目前,内核支持两种类型的硬件卸载。
IPSec故障排除:了解和使用调试指令
weixin_42930696的博客
11-21 6470
跳转到页面内容跳转到页脚 产品 支持 合作伙伴与代理商 更多 CN ZH 搜索 登录 已有帐户? 个性化内容 您的产品和支持 登录 忘记了用户 ID 或密码? 管理帐户 需要帐户? 创建帐户 帮助 CN ZH 选择语言选项 已选国家/地区: Mainland China - 简体中文 All Countries / Regions North America Africa Asia Pacific...
IPsec Note
繁星流动天际
04-14 880
VPN---Virtual Private Network 虚拟专用网是一种业务,可以在共享的公共网络上提供安全可靠的连接通道. 按层次分的VPN: 二层VPN : ATM/Frame Relay/DDN/ISDN 三层VPN : IPSEC/GRE/L2TP 应用层VPN : Web VPN/SSL VPN <安全的含义> 保证来源性 <===对源进行认证 保...
Ipsec phase1 and phase2
sinat_26865201的专栏
07-15 4067
终于明白是怎么回事了,困扰我好多天了。网上的资料鱼龙混杂,直到这位大虾的出现。 第一阶段 有主模式和积极模式2种 只有remote vpn和Easy vpn是积极模式的,其他都是用主模式来协商的 让IKE对等体彼此验证对方并确定会话密钥,这个阶段永DH进行密钥交换,创建完IKE SA后,所有后续的协商都将通过加密合完整性检查来保护 phase 1帮助在对等体之间创建了一条安全通道
关于GRE over IPsecIPsec over GRE
weixin_34129145的博客
07-30 2227
GRE over IPsec & IPsec over GRE IPSec -Over-GRE是先ipsec后gre,这种我没用过。 GRE -Over-IPSec 是先gre后ipsec,也就是说ipsec是最后的承载方式。一般常用的就是这种,解决了ipsec不支持多播的问题。 另外...
IPSec环境搭建与分析
GOOD__YOUTH的博客
10-11 1325
测试调试 网络拓扑 路由器配置为: 设置ipsec信息为: 隧道模式,配置远端路由网关192.168.151.73 即路由器2 IP 配置本地网端,与远端网段,设置ike协商 采用ESP中的封装安全荷载协议中的DES加密协议 完整性检测采用SHA1协议 配置密钥信息. 路由器1设置为初始者模式,路由器2设置为响应者模式,,通过抓包发现当设置为初始者模式时,路由器主动向对端建立ike协商,响应者模式则为被动状态等待ike连接请求。 测试可以PING通远端网段. 报文解析 主动模式 建立IKEV1协商
ipsec服务器无响应,lean请进,IPSec 服务器连接不上,求指教。
weixin_39541693的博客
08-10 2163
Thu May 17 11:16:48 2018 daemon.info : 13[NET] received packet: from 10.0.0.247[500] to 10.0.0.231[500] (848 bytes)Thu May 17 11:16:48 2018 daemon.info : 13[ENC] parsed ID_PROT request 0 [ SA V V V V ...
很好的IPSec介绍,详细解释了IKE协商的2个阶段的作用
weixin_34353714的博客
09-21 2760
IPSec Introduction IPSec Overview IP Security (IPSec) refers to a series of protocols defined by IETF to provide high quality, interoperable, and cryptology-based security for IP packets. By m...
使用 IPsec 与组策略隔离服务器和域-第 6 章:管理服务器和域隔离环境
FreeXploiT
12-10 2631
本章提供成功部署到生产环境之后帮助管理服务器和域隔离解决方案的指导。支持人员一定要了解本隔离解决方案是额外添加了一层安全性,并且为了成功连接到某个资源,主机需要多个网络连接和 IP 地址。 同样,负责 IPsec 策略和组策略的职员也必须了解如果设置单个不正确的选项会限制占用策略的主机的功能。 出于这些原因,在本解决方案可正常工作之后,支持小组应有一套现成的记录良好和通信良好的管理过程和步骤可用。
win10 C++ 实现 ipsec
05-11
实现IPSec需要了解IPSec协议和相关的API。IPSec是一种网络层协议,用于提供网络安全服务,包括身份验证和加密。在Windows平台上,可以使用Windows IPsec API来实现IPsec。 在Windows平台上实现IPSec需要以下步骤: 1. 创建IPsec策略和规则:使用Windows IPsec Policy Agent API创建IPsec策略和规则,以指定IPsec的参数和规则。 2. 配置IPsec策略:使用Windows IPsec Configuration API将IPsec策略应用于网络适配器或网络连接。 3. 监视IPsec连接:使用Windows IPsec Diagnostic API监视IPsec连接,并获取相关的诊断信息。 4. 清除IPsec策略:使用Windows IPsec Policy Agent API删除IPsec策略和规则。 下面是一个简单的示例代码,用于创建和应用IPsec策略: ```cpp #include <windows.h> #include <stdio.h> #include <ipsec.h> int main(int argc, char* argv[]) { DWORD dwError = 0; HANDLE hPolicyStore = NULL; IPSEC_POLICY_STORE_INFO PolicyStoreInfo; IPSEC_POLICY_INFO PolicyInfo; IPSEC_FILTER Filter; IPSEC_NEGOTIATION_POLICY NegotiationPolicy; IPSEC_SECURITY_METHOD SecurityMethod; IPSEC_SA_LIFETIME Lifetime; GUID gPolicyID; GUID gFilterID; GUID gNegPolID; GUID gMethodID; // Open the IPsec policy store dwError = IpsecOpenPolicyStore( POLSTORE_LOCAL, NULL, NULL, 0, &hPolicyStore ); if (dwError != ERROR_SUCCESS) { printf("IpsecOpenPolicyStore failed with error %d\n", dwError); return 1; } // Set the policy store information ZeroMemory(&PolicyStoreInfo, sizeof(PolicyStoreInfo)); PolicyStoreInfo.dwVersion = IPSEC_POLICY_STORE_INFO_VERSION; PolicyStoreInfo.pszLocationName = L"My IPsec Policy Store"; PolicyStoreInfo.pszFileName = L"C:\\Windows\\System32\\ipsec.pol"; dwError = IpsecSetPolicyStoreInfo( hPolicyStore, &PolicyStoreInfo ); if (dwError != ERROR_SUCCESS) { printf("IpsecSetPolicyStoreInfo failed with error %d\n", dwError); goto cleanup; } // Create the IPsec policy ZeroMemory(&PolicyInfo, sizeof(PolicyInfo)); PolicyInfo.dwVersion = IPSEC_POLICY_INFO_VERSION; PolicyInfo.pszIpsecName = L"My IPsec Policy"; PolicyInfo.dwNumNFATransactions = 1; PolicyInfo.pIpsecNFAData = (PIPSEC_NFA_DATA)LocalAlloc(LPTR, sizeof(IPSEC_NFA_DATA)); if (PolicyInfo.pIpsecNFAData == NULL) { dwError = GetLastError(); printf("LocalAlloc failed with error %d\n", dwError); goto cleanup; } // Create the IPsec filter ZeroMemory(&Filter, sizeof(Filter)); Filter.dwVersion = IPSEC_FILTER_VERSION; Filter.pszFilterName = L"My IPsec Filter"; Filter.u.IPVersion = IPSEC_PROTOCOL_V4; Filter.SrcAddr.AddrType = IPSEC_ADDR_SUBNET; Filter.SrcAddr.uIpAddr = inet_addr("192.168.0.0"); Filter.SrcAddr.uSubNetMask = inet_addr("255.255.255.0"); Filter.DestAddr.AddrType = IPSEC_ADDR_SUBNET; Filter.DestAddr.uIpAddr = inet_addr("10.0.0.0"); Filter.DestAddr.uSubNetMask = inet_addr("255.0.0.0"); Filter.Protocol.ProtocolType = IPSEC_PROTOCOL_UDP; Filter.SrcPort.PortType = IPSEC_PORT_SPECIFIC; Filter.SrcPort.wPort = htons(500); Filter.DestPort.PortType = IPSEC_PORT_SPECIFIC; Filter.DestPort.wPort = htons(500); // Create the IPsec negotiation policy ZeroMemory(&NegotiationPolicy, sizeof(NegotiationPolicy)); NegotiationPolicy.dwVersion = IPSEC_NEGOTIATION_POLICY_VERSION; NegotiationPolicy.pszIpsecName = L"My IPsec Negotiation Policy"; NegotiationPolicy.dwFlags = IPSEC_NFA_POLICY_OFFERS; NegotiationPolicy.dwNumAuthMethods = 1; NegotiationPolicy.pIpsecAuthMethods = (PIPSEC_AUTH_METHOD)LocalAlloc(LPTR, sizeof(IPSEC_AUTH_METHOD)); if (NegotiationPolicy.pIpsecAuthMethods == NULL) { dwError = GetLastError(); printf("LocalAlloc failed with error %d\n", dwError); goto cleanup; } // Create the IPsec security method ZeroMemory(&SecurityMethod, sizeof(SecurityMethod)); SecurityMethod.dwVersion = IPSEC_SECURITY_METHOD_VERSION; SecurityMethod.dwFlags = IPSEC_SECMETHOD_FLAG_NEGOTIATION; SecurityMethod.pszSecurityMethodName = L"My IPsec Security Method"; // Set the IPsec security method lifetime ZeroMemory(&Lifetime, sizeof(Lifetime)); Lifetime.uKeyExpirationTime = 3600; // Add the IPsec filter to the IPsec policy dwError = IpsecAddFilter( hPolicyStore, &Filter, &gFilterID ); if (dwError != ERROR_SUCCESS) { printf("IpsecAddFilter failed with error %d\n", dwError); goto cleanup; } // Add the IPsec security method to the IPsec policy dwError = IpsecAddSecurityMethod( hPolicyStore, &SecurityMethod, &Lifetime, &gMethodID ); if (dwError != ERROR_SUCCESS) { printf("IpsecAddSecurityMethod failed with error %d\n", dwError); goto cleanup; } // Add the IPsec negotiation policy to the IPsec policy NegotiationPolicy.pIpsecAuthMethods[0].dwAuthType = IPSEC_AUTH_TYPE_PRESHARED_KEY; NegotiationPolicy.pIpsecAuthMethods[0].pAuthInfo = (LPVOID)LocalAlloc(LPTR, sizeof(IPSEC_PRESHARED_KEY)); if (NegotiationPolicy.pIpsecAuthMethods[0].pAuthInfo == NULL) { dwError = GetLastError(); printf("LocalAlloc failed with error %d\n", dwError); goto cleanup; } ((PIPSEC_PRESHARED_KEY)NegotiationPolicy.pIpsecAuthMethods[0].pAuthInfo)->pszKey = L"MySharedSecret"; dwError = IpsecAddNegotiationPolicy( hPolicyStore, &NegotiationPolicy, &gNegPolID ); if (dwError != ERROR_SUCCESS) { printf("IpsecAddNegotiationPolicy failed with error %d\n", dwError); goto cleanup; } // Add the IPsec NFA to the IPsec policy PolicyInfo.pIpsecNFAData[0].dwVersion = IPSEC_NFA_DATA_VERSION; PolicyInfo.pIpsecNFAData[0].pszIpsecName = L"My IPsec NFA"; PolicyInfo.pIpsecNFAData[0].dwFlags = IPSEC_NFA_POLICY_OFFERS; PolicyInfo.pIpsecNFAData[0].dwTunnelFlags = IPSEC_TUNNEL_FLAG_PMTUD; PolicyInfo.pIpsecNFAData[0].dwAuthMethodCount = 1; PolicyInfo.pIpsecNFAData[0].ppAuthMethods = &gMethodID; PolicyInfo.pIpsecNFAData[0].pInboundFilter = &gFilterID; PolicyInfo.pIpsecNFAData[0].pOutboundFilter = &gFilterID; PolicyInfo.pIpsecNFAData[0].pNegPol = &gNegPolID; dwError = IpsecSetPolicyData( hPolicyStore, &PolicyInfo, &gPolicyID, NULL, NULL ); if (dwError != ERROR_SUCCESS) { printf("IpsecSetPolicyData failed with error %d\n", dwError); goto cleanup; } // Apply the IPsec policy to the network adapter dwError = IpsecApplyPolicy(hPolicyStore, &gPolicyID, NULL); if (dwError != ERROR_SUCCESS) { printf("IpsecApplyPolicy failed with error %d\n", dwError); goto cleanup; } printf("IPsec policy applied successfully!\n"); cleanup: if (hPolicyStore != NULL) { IpsecClosePolicyStore(hPolicyStore); } if (PolicyInfo.pIpsecNFAData != NULL) { LocalFree(PolicyInfo.pIpsecNFAData); } if (NegotiationPolicy.pIpsecAuthMethods != NULL) { LocalFree(NegotiationPolicy.pIpsecAuthMethods[0].pAuthInfo); LocalFree(NegotiationPolicy.pIpsecAuthMethods); } return dwError; } ``` 这个示例代码创建了一个IPsec策略和规则,以将网络适配器上的流量从源地址192.168.0.0/24发送到目标地址10.0.0.0/8时进行加密和身份验证。它使用了IPsec的预共享密钥身份验证方法,并将密钥设置为“MySharedSecret”。在实际使用中,还需要根据具体需求进行适当的配置和修改。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值