openwrt配置strongswan对接hillstone ipsec的笔记

最新推荐文章于 2024-05-09 10:04:16 发布
最新推荐文章于 2024-05-09 10:04:16 发布
阅读量8.4k 收藏 14
点赞数 2
分类专栏: openwrt 文章标签: openwrt ipsec strongswan
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/d9394952/article/details/90734469
版权

一、主要参考资料:

https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/roadwarrior

https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/basic

https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/site2site

https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/basics

https://oldwiki.archive.openwrt.org/inbox/strongswan.howto

https://www.xiaocan.me/linux-strongswan-cilent/

https://wiki.strongswan.org/projects/strongswan/wiki/ConnSection

https://www.strongswan.org/testing/testresults/ikev1/net2net-psk/

https://wiki.strongswan.org/issues/2071

http://blog.sina.com.cn/s/blog_517c21c00102wvij.html

 

二、具体笔记

1、安装strongswan:

opkg update
opkg install strongswan-ipsec strongswan-mod-kernel-libipsec kmod-tun

 

2、修改/tmp/ipsec/ipsec.conf

root@OpenWrt:/tmp/ipsec# cat ipsec.conf
# generated by /etc/init.d/ipsec
version 2

conn dmz
  left=%any
  right=111.111.111.111      #主端的公网IP地址
  leftsubnet=192.168.23.0/24     #本地LAN端的IP地址段
  ikelifetime=3h
  lifetime=1h
  margintime=9m
  keyingtries=3
  dpdaction=none
  dpddelay=30s
  leftauth=psk
  rightauth=psk
  rightsubnet=192.168.10.0/24       #主端的内网IP地址段
  auto=route             #这个参数定义IPSEC隧道的启动方式,可选add\route\start
  leftid=IPSEC-TEST      #这个ID根据主端的IPSEC配置来匹配
  keyexchange=ikev1
  type=tunnel
  esp=3des-md5-modp1024        #IPSEC第二阶段的协商加密协议,需与主端匹配,注意dh2对应是modp1024的写法,其它dh组对应值查看上面资料
  ike=3des-md5-modp1024        #IPSEC第一阶段的协商加密协议,需与主商匹配
  forceencaps = yes            #据说是udp包的封装,yes后可以适配更多的网关转发,需视情况yes/no

2、修改/etc/firewall.user

iptables -I INPUT  -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD  -m policy --dir in --pol ipsec --proto esp -j ACCEPT
iptables -I FORWARD  -m policy --dir out --pol ipsec --proto esp -j ACCEPT
iptables -I OUTPUT   -m policy --dir out --pol ipsec --proto esp -j ACCEPT

3、/etc/config/ipsec(无用的,可以无视之)

config 'ipsec'
  list listen ''
  option 'debug' '0'
  option 'interface' 'eth0.3'
  
config 'remote' 'aaa'
  option 'enabled' '1'
  option 'gateway' '1.1.1.1'
  option 'pre_shared_key' 'aaaaaaaaaa'
  option 'exchange_mode' 'main'
  option 'authentication_method' 'psk'
  option 'local_identifier' 'IPSEC-TEST-1'
  list   'p1_proposal' 'pre_g2_des_sha1'

  list   'tunnel' 'aaa_dmz'
  list   'tunnel' 'aaa_lan'

config 'p1_proposal' 'pre_g2_des_sha1'
  option 'encryption_algorithm' 'des'
  option 'hash_algorithm' 'sha1'
  option 'dh_group' '2'

config 'tunnel' 'aaa_lan'
  option 'local_subnet' '192.168.23.0/24'
  option 'remote_subnet' '192.168.10.0/24'
  option 'p2_proposal' 'g2_des_sha1'
  option 'keyexchange' 'ikev1'
  
config 'tunnel' 'aaa_dmz'
  option 'local_subnet' '192.168.23.0/24'
  option 'remote_subnet' '192.168.15.0/24'
  option 'p2_proposal' 'g2_des_sha1'
  option 'keyexchange' 'ikev1'
  
config 'p2_proposal' 'g2_des_sha1'
  option 'pfs_group' '2'
  option 'encryption_algorithm' 'des'
  option 'authentication_algorithm' 'sha1'

4、手动启动命令

/usr/sbin/ipsec start      #启动IPSEC进程 
/usr/sbin/ipsec up dmz     #手动启动dmz隧道(当上面的auto=add或route时)
/usr/sbin/ipsec statusall  #查看ipsec的配置及运行状态等

ifconfig ipsec0       #查看隧道打通后是否产生ipsec0这个虚拟网卡

5、添加路由:

route add -net 192.168.10.0/24 dev ipsec0

6、最后发现:

hillstone的垃圾只可以一个连接,当第二个IPSEC连上去会把第一个IPSEC踢掉!!!!!!

d9394952
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
几个好用的OpenWRT插件
Arthur Guo 的专栏
10-17 2万+
几个好用的OpenWRT插件
openwrt-luci-ipsec:openwrt-luci-vpnd
07-11
openwrt-luci-vpnd openwrt-luci-vpnd
推荐开源项目:Libreswan - 灵活强大的IPSec实现
最新发布
gitblog_00055的博客
05-09 561
推荐开源项目:Libreswan - 灵活强大的IPSec实现 项目地址:https://gitcode.com/libreswan/libreswan 项目介绍 Libreswan是一款专为Linux设计的互联网密钥交换(IKE)实现软件,支持IKEv1和IKEv2协议,并兼容多种扩展功能,如X.509数字证书、NAT穿透等。它利用了Linux原生的XFRM IPsec堆栈。这款项目源自Open...
openwrt18.06.4配置strongswan对接山石网科(hillstone)记录①
u013331811的博客
04-28 5944
首先感谢https://blog.csdn.net/d9394952/article/details/90734469原贴作者 摸索了一个礼拜,将过程记录如下 首先将路由器连上网,更新opkg root@OpenWrt:~# ping www.baidu.com PING www.baidu.com (61.135.169.125): 56 data bytes 64 bytes fro...
openwrt中搭建strongswan服务器vpn支持ipsec ikev2
初学者的专栏
10-31 7375
请注意,这只是一个基本的配置示例,你可能还需要根据你的网络环境和需求进行一些额外的配置调整。强烈建议在实际部署之前阅读StrongSwanOpenWrt的官方文档以获取更多信息和指导。编辑StrongSwanIPsec预共享密钥配置文件。OpenWrtStrongSwan VPN服务器的安装配置。编辑StrongSwanIPsec连接配置文件。编辑StrongSwan的主配置文件。打开终端或SSH连接到你的OpenWrt路由器。
openwrt strongswan IPSec IKEV2
热门推荐
季春贰柒的博客
02-24 2万+
前言:文章是作者基于一段时间的学习成果而写的,主要是为了记录下搭建VPN的过程以及遇到的一些麻烦错误,方便之后继续学习或者使用。当然如果能帮到一些读者自然是更好的。鉴于本人水平有限,文章之中难免会出现错漏不足之处,恳请批评指教、留言讨论。 学习过程中在网友文章中发现此图,诚不我欺(手动狗头)。 0.准备 俩台openwrt系统路由器、一部手机(安卓、苹果都行略有差别后续会说到)、阿里云服务器、 1.安装strongswan 这一步网上随意搜索就可以看到许多保姆级别教程,写得很详细。如果你实在懒得搜,轻移贵
openwrt18.06.4配置strongswan对接山石网科(hillstone)记录②
u013331811的博客
04-29 862
上一篇配置完成后,ipsec应该可以起来了,ipsecstatusall的输出正常 内网ping不通,经过摸索发现可能是iptables的问题 验证如下: #停止防火墙 /etc/init.d/firewall stop ping对端地址可以ping通,但是基本的转发都没有了,lan口的电脑无法访问互联网 #启动防火墙 /etc/init.d/firewall start ...
openwrt 1020配置文件
06-16
openwrt 1020配置文件
openwrt-无线配置
07-21
### OpenWRT无线配置详解 #### 一、OpenWRT简介与应用场景 OpenWRT是一款基于Linux内核的开源路由器操作系统,它支持多种处理器架构,适用于各种嵌入式设备,如路由器、AP接入点等。OpenWRT因其高度可定制化、强大...
Openwrt ipsec介绍
Roger_Hoo 的博客
11-22 2377
简介openwrt ipsec部署的几种场景,并列举常见问题的解决办法
IPSEC配置示例-基于路由静态IPSE
05-06
第一步,创建IKE第一阶段提议 第二步,创建IKE第二阶段提议 第三步,创建对端 第四步,创建IPSEC隧道 第五步,创建隧道接口,指定安全域,并将创建好的隧道绑定到接口 第六步,添加隧道路由 第七步,添加安全策略
详解 OpenWrt 防火墙配置、NAT配置
l00102795的博客
01-19 3414
OpenWrt内置防火墙介绍Openwrt 是一个 GNU/Linux 的发行版, Openwrt 的防火墙实现与Linux的防火墙是通过netfilter内核模块,加上用户空间的iptables管理工具;同样是五链四张表、五元素的管理框架。OpenWRT开发了一套与iptables同地位的netfilter管理工具fw3,这个工具侧重于从uci格式的配置文件中获取过滤信息下发到内核的netfilter中去。
基于openwrt平台搭建局域网技术验证之二
caofengtao1314的专栏
06-29 2756
1、测试目的 验证l2tp服务器模式的可行性。 提供vpn-l2tp模式的服务器功能,供客户端连接访问内网 2、参考资料 参考连接1:https://www.jianshu.com/p/ccf8f2cca70e 参考连接2:https://openwrt.org/docs/guide-user/services/vpn/ipsec/openswan/openswanxl2tpvpn 3、测试过程 测试过程需要用到的资源: 路由器一个 win7系统电脑俩台 交换机一个 网线三根
strongswan 搭建 IPSec 实验环境
yuyu的博客
09-09 8465
使用两个CentOS7虚拟机,基于strongswan搭建IPSec VPN实验环境,通过是否配置加密算法,达到产生正常和非正常ESP数据包的目的。本篇为自己填坑记录。 目录 1、准备两个CentOS7虚拟机 2、安装strongswan 3、修改配置文件 4、配置NAT 5、 scp模拟大流量场景 6、修改配置文件去掉加密算法 1、准备两个CentOS7虚拟机 使其能相互ping通 (192.168.220.139 ping 通192.168.220.140) 实验拓扑如图: .
Iphone连接OpenwrtIPSEC服务器
胡同老道的博客
09-12 1万+
最近搭建了群晖的Moments服务,把家人的所有照片全部存储到NAS,然后删除了手机中的照片,省出了大量空间,家里的领导再也不抱怨手机空间不够了。 我是经常换手机,用手机自带的备份克隆或者换机助手,动不动就一两个小时才能把几十G照片搬到新手机,用了群晖,这个问题也解决了。 话说物极必反,没用几天,领导就抱怨在外面看到不以前的照片了,发了限期整改的通知,否则把每月零花钱从350降到200。 本着绝对不开历史倒车的技术理念,加上捉襟见肘的预算,排除了把照片...
笔记openwrt - IPSec
LawssssCat的博客
11-30 7567
文章目录基础 + jvm- String- 1:分析: 基础 + jvm - String - 1: 分析: Part 0 : 完成测试代码 用 工具 javap -c StringEqualTest.class 反编译下面代码,分析 Part1 : String常量对比 /* * 1. 常量对比 */ String a = "cc" ; String b = "c...
ipsec.conf 各配置含义
Yttsam的博客
04-20 1058
esp:ESP (Encapsulating Security Payload)的配置参数,例如加密算法、认证算法等。需要注意的是,ipsec.conf 文件的内容和格式可能会因操作系统、版本以及实际应用场景而有所不同。type:连接类型,例如 tunnel、transport、roadwarrior 等。ike:IKE 阶段 1 的配置参数,例如加密算法、认证算法等。left/rightid:身份标识符,例如主机名、IP 地址等。conn:连接名,表示需要建立的安全连接的名称。
openwrt_ipsec_function.sh 分析
dj443100的博客
06-20 663
#!/bin/sh # # Copyright (C) 2015 Vitaly Protsko <villy@sft.ru> errno=0 # get_fieldval gate src "$(/usr/sbin/ip route get $4)" # 获取字段的值,# # ip route get `nslookup www.xiaohuamao...
openwrt 配置vrrp
04-12
OpenWrt是一个开源的嵌入式操作系统,它可以用于路由器和其他网络设备。VRRP(Virtual Router Redundancy Protocol)是一种网络协议,用于提供冗余的路由器功能,以确保网络的高可用性和容错性。 要在OpenWrt配置VRRP,可以按照以下步骤进行操作: 1. 确保你的OpenWrt设备已经安装并运行正常。 2. 登录到OpenWrt的Web界面或通过SSH连接到设备的命令行界面。 3. 打开网络设置页面,找到你想要配置VRRP的接口(例如LAN或WAN)。 4. 在接口设置中,启用VRRP并配置相关参数,如VRRP ID、虚拟IP地址、优先级等。 5. 保存并应用配置更改。 6. 重复以上步骤,如果你有多个接口需要配置VRRP。 请注意,具体的配置步骤可能会因OpenWrt版本和设备型号而有所不同。建议在配置之前查阅OpenWrt的官方文档或社区论坛,以获取更详细和准确的配置指南。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值