strongswan 安装编译教程 搭建vpn

版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/guangyinglanshan/article/details/82836754

                          ###############################################
                          #               StrongSwan5_3_4               #
                          ###############################################
                          
///////////////////////////////////////////////////////////////////////////////////////////////////////////////////
######################
#      TOPOLOGY      #
######################
                 
                 IPSEC_client/server                             IPSEC_server/client
                 
                     +-----------+                                   +-----------+
                     |           | 192.168.1.210        192.168.1.200|           |
                     |           |                                   |           |
                     |           |            <          >           |           |
                     |           <------------[ INTERNET ]----------->           |
                     |           |            <          >           |           |
                     |           |                                   |           |
(server)1.2.0.0/25   |           |                                   |           |  (server)1.2.0.128/25    
(client)1.3.0.0/24   +-----^-----+                                   +-----^-----+  (client)1.4.0.0/24 
                           | 1.2.0.1/25                       1.2.0.129/25 |
                           |                                               |
                           |                                               |
                           |                                               |
                           |                                               |
                           |                                               |
           PC1-client      |                                               |     PC2-server   
                           | 1.2.0.2                             1.2.0.200 |
                     +-----v-----+                                   +-----v-----+
                     |           |                                   |           |
                     |           |                                   |           |
                     |           |  < = = = = = = = = = = = = = = >  |           |
                     |           |                                   |           |
                     +-----------+                                   +-----------+
                     
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////

##IPSEC安装:
1、在线下载
wget https://download.strongswan.org/strongswan-5.3.4.tar.gz
2、创建安装目录
mkdir /home/test
3、移至安装目录
mv strongswan-5.3.4.tar.gz /home/test
4、切换目录
cd /home/test
5、解压
tar -zxvf strongswan-5.3.4.tar.gz
6、进入解压目录
cd strongswan-5.3.4
7、在线安装依赖动态库
yum install -y gmp-devel
yum install -y openssh-devel
yum install -y pam-devel
8、生成makefile文件
./configure  --enable-eap-identity --enable-eap-md5 --enable-eap-mschapv2 --enable-eap-tls --enable-eap-ttls --enable-eap-peap  --enable-eap-tnc --enable-eap-dynamic --enable-eap-radius --enable-xauth-eap --enable-xauth-pam  --enable-dhcp  --enable-openssl  --enable-addrblock --enable-unity  --enable-certexpire --enable-radattr --enable-tools --enable-openssl --disable-gmp
9、编译
make
10、安装
make isntall
11、检测安装
执行ipsec,可以找到该命令

##IPSEC配置:
IPSEC_client/server:
/usr/local/etc/ipsec.conf
--------------------------------------+
config setup
    uniqueids=never
        # strictcrlpolicy=yes
        # uniqueids = no

# Add connections here.

# Sample VPN connections
#server
conn connect2_psk
    keyexchange=ikev2
    left=192.168.1.210
    leftauth=psk
    leftsubnet=0.0.0.0/0
    #right=%any
    right=192.168.1.200
    rightauth=psk
    rightsourceip=1.4.0.0/24
    mobike=no
    auto=add
#client
conn connect1_psk 
    keyexchange=ikev2
    left=192.168.1.210
    leftauth=psk
    leftfirewall=yes
    leftsourceip=%config
    right=192.168.1.200
    rightauth=psk
    rightsubnet=1.2.0.128/25
    mobike=no
    auto=add
--------------------------------------+
/usr/local/etc/ipsec.secrets
--------------------------------------+
# /etc/ipsec.secrets - strongSwan IPsec secrets file

: PSK "123456"
--------------------------------------+

IPSEC_server/client:
/usr/local/etc/ipsec.conf
--------------------------------------+
# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup
    uniqueids=never
        # strictcrlpolicy=yes
        # uniqueids = no

# Add connections here.

# Sample VPN connections
#server
conn connect1_psk
    keyexchange=ikev2
    left=192.168.1.200
    leftauth=psk
    leftsubnet=0.0.0.0/0
    #right=%any
    right=192.168.1.210
    rightauth=psk
    rightsourceip=1.3.0.0/24
    mobike=no
    auto=add
#client
conn connect2_psk
    keyexchange=ikev2
    left=192.168.1.200
    leftauth=psk
    leftfirewall=yes
    leftsourceip=%config
    right=192.168.1.210
    rightauth=psk
    rightsubnet=1.2.0.0/25
    mobike=no
    auto=add
--------------------------------------+
/usr/local/etc/ipsec.secrets
--------------------------------------+
# /etc/ipsec.secrets - strongSwan IPsec secrets file

: PSK "123456"
--------------------------------------+

##IPSEC启动流程:
IPSEC_client/server:
    ipsec restart --nofork &
IPSEC_server/client:
    ipsec restart --nofork &
IPSEC_client/server:
    ipsec up connect1_psk
IPSEC_server/client:
  ipsec up connect2_psk    

##NAT规则配置:
IPSEC_client/server:
echo "1" > /proc/sys/net/ipv4/ip_forward
#CONN1
iptables -t nat -A POSTROUTING -d 1.2.0.200/32 -j SNAT --to-source 1.3.0.1
#CONN2
iptables -t nat -A POSTROUTING -d 1.2.0.2/32 -j SNAT --to-source 1.2.0.200 【1.2.0.200:伪装PC1-client的同网段远端IP】 

IPSEC_server/client:
echo "1" > /proc/sys/net/ipv4/ip_forward
#CONN1
iptables -t nat -A POSTROUTING -d 1.2.0.200/32 -j SNAT --to-source 1.2.0.2 【1.2.0.2:伪装PC1-client的同网段远端IP】 
#CONN2
iptables -t nat -A POSTROUTING -d 1.2.0.2/32 -j SNAT --to-source 1.4.0.1

PC1-client:
route add -net 1.2.0.200 netmask 255.255.255.255 gw 1.2.0.1

PC2-server:
route add -net 1.2.0.2 netmask 255.255.255.255 gw 1.2.0.129


##tcp/ip协议栈
---------------------------------------
                            APP
---------------------------------------
   POSTROUTING      PREROUTING
---------------------------------------
              IPSEC
-------v-----------------^-------------
              ETH
---------------------------------------             

阅读更多
换一批

没有更多推荐了,返回首页