openswan 如何配置RSA认证方式

最新推荐文章于 2021-05-24 20:29:38 发布
最新推荐文章于 2021-05-24 20:29:38 发布
阅读量926 收藏
点赞数

RSA Signature(RSA数字签名)认证的配制


    Openswan支持许多不同的认证方式,包括RSA keys、pre-shared keys或x.509证书方式。RSA Signature比较简单,我先介绍下所要使用的命令

    生成一个新的RSA密钥对
    #ipsec newhostkey  --output /etc/ipsec.secert
    按left或right格式生成RSA Sig
    #ipsec showhostkey --left(或--right)

    知道了上面的命令,我们就可以配置一个net-to-net,就是网关对网关的通讯。所在的Linux主机为通讯的网关,作为其子网的出口,对于子网的用户来所是透明的,远程的子网在通讯后可以像自己的局域网一样的访问。
    
    本文使用VMWare架设起一个四台虚拟Linux主机来进行试验。因为要在不同的机子上进行配置,所以请读者认清主机名。

    192.168.183.44(子网客户机,计算机名RA)
    <->
    192.168.49.2(Left网关主机,计算机名melin,同时eth1配置为192.168.183.1)
    <->
    192.168.49.3(Right网关主机,计算机名right,同时eth1配置为192.168.233.1)
    <->
    192.168.233.44(子网客户机,计算机名RB)

    两个网关主机当然要安装好Openswan。同时用iptabels配置好NAT伪装。

    然后我们运行下面的命令

    //melin    
    #ipsec newhostkey --output /etc/ipsec.secert
    #ipsec showhostkey --right >> /etc/ipsec.conf
    #vi /etc/ipsec.conf //编辑ipsec.conf配置文件
    #scp /etc/ipsec.conf root@right_GW_ipaddress:/etc/ipsec.conf //把ipsec.conf拷贝到right网关,目的是为了让right的到left的rsasig。
    //right
    #ipsec newhostkey  --output /etc/ipsec.secert
    #ipsec showhostkey   --right >> /etc/ipsec.conf
    #vi /etc/ipsec.conf
    #scp /etc/ipsec.conf  root@left_GW_ipadress:/etc/ipsec.conf
    然后分别从前启动ipsec服务
    #ipsec setup restart //这个因为你的系统不同点不同

    这里的编辑ipsec.conf应该为(配置文件中的#为注释,和以上shell命令不同)
    
version    2.0

config setup
    interfaces=%defaultroute
    nat_traversal=yes
    
conn %default
    authby=rsasig
    compress=yes

#关掉 Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf

conn    net-to-net
    left=192.168.49.2
    leftsubnet=192.168.183.0/24
    leftid=@melin
    leftnexthop=%defaultroute
    right=192.168.49.3
    rightsubnet=192.168.233.0/24
    rightid=@right
    rightnexthop=%defaultroute
    # RSA 2192 bits   melin   Mon May 29 03:42:49 2006
    leftrsasigkey=0sAQ...(leftrsasigkey值,省略)
    # RSA 2192 bits   right   Wed May 31 22:11:59 2006
    rightrsasigkey=0sAQ...
    auto=add

然后在任意一方网关主机运行
    ipsec auto --up net-to-net,这个时候,两个客户机之间应该可以互相ping的通,就像在一个内网一样。
    
    比如在RA上可以

    $ping 192.168.233.44
    
    在ping的过程中,在任意一个网关上用tcpdump嗅探

    #tcpdump -i eth0
    
    可以看到这样的包

    IP 192.168.233.44 > 192.168.183.44:icmp 64:echo request seq 10
    IP 192.168.49.2 > 192.168.49.3: ESP(spi=0xeb73b78b,sed=0xa)
    IP 192.168.49.3 > 192.168.49.2: ESP(spi=0x1601e0bd,sed=0xb)
    可以看到两个网关已经用ESP在通讯,说明成功。

    值得注意的是,如果网关主机开了iptables来做IP伪装(MASQUERADE)或NAT,需要竞争两个子网地址的转发,比如在我们例子中的Left主机上原来有
    #echo 1 > /proc/sys/net/ipv4/ip_forward
    #iptables -t nat -A POSTROUTING -o eth0 -s 192.168.183.0/24 -j MASQERADE
    把改为
    #iptables -t nat -A POSTROUTING -o eth0 -s 192.168.183.0/24 -d ! 192.168.233.0/24 -j MASQERADE
    即不转发目标地址为Right主机下的子网。

    另外,这一行
    include /etc/ipsec.d/examples/no_oe.conf意为关闭Opportunistic Encryption在你不知道她到底做了什么之前,还是关掉她为好,打开no_oe.conf文件,发现其内容如下,我们将在本文的第五部分讨论这个话题。

conn block
auto=ignore

conn private
auto=ignore

conn private-or-clear
auto=ignore

conn clear-or-private
auto=ignore

conn clear
auto=ignore

conn packetdefault
auto=ignore
guoyangbill
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
openswan配置IPSec(tunnel模式,esp封装,rsa认证
weixin_43190642的博客
12-24 3403
vm1:192.168.182.144 host1:192.168.182.254 9.94.189.225 host2:9.94.189.226 192.168.152.254 vm2:192.168.152.132 环境如图所示,两台物理机充当网关,分别启动一台虚拟机组成局域网。 一、虚拟机启动 使用qume脚本启动,关键信息: -enable-kvm -display none -cpu host -smp 4 -m 4096 -kernel KaTeX .
利用Openssl进行RSA加密签名算法
Sagely's blog
04-28 6459
   加密(签名)的过程是(M的e次方)mod n,在这里我们把消息M假定为一个数字,但实际上消息一般为字符串,所以必须有一个将字符串转化为数字的规则,并且要让这个数字的大小和n相当(也不能比n大)。这样做的目的是为了使(M的e次方)> n ,假如不是这样那么C=(M的e次方)mod n = (M的e次方),也就是mod n完全没有作用,攻击者就能够轻松的通过取C的第e次方根来恢复M。那么下面来讨
OpenSWAN做Linux下的IPSec ×××的详细配置指南
weixin_33742618的博客
01-27 981
1.概述 2.安装Openswan 3.认证配置 3.1 RSAsig认证方式配置 3.2 x.509证书认证配置 3.3 RoadWarrior模式的配置 5.Windows客户端的配置 ***** 1.概述 LInux上的×××支持主要有三种: 1)IPSec ‘s ××× 其主要代表有 F...
Openswan组建Linux IPSec ---第一部分
wangpengqi的专栏
12-11 5737
Openswan组建Linux IPSec                                                ---Linux下建立IPSEC的vpn第一部分 1.概述 2.安装Openswan 3.认证配置     3.1 RSAsig认证方式配置     3.2 x.509证书认证配置     3.3 RoadWarrior模式的配置
用L2TP与OpenSwan构建IPSec ×××(使用X.509证书认证
weixin_33802505的博客
05-05 234
OpenSwan自身构建×××,到最后用L2TP与X.509证书构成较为普遍的IPSec ×××,中间遇到了很多挫折,一起写在这里。 在整个过程中,主要参考下面几篇文章: 九尾银狐的“开源Linux ×××解决方案 - OpenSWan安装配置指南”一文。地址:[url]http://www.entage.net/1/viewspace_8112.html[/url]...
openswan pluto性能优化方法
最新发布
02-19
openswan源码中的pluto进程在处理隧道数量比较少时效率问题没有那么突出,而当隧道增加到成千上万条时,它的性能问题显得格外的突出。当添加1万~2万条隧道时,cpu的利用率很高,性能下载很多。本文章从优化pluto中...
openswan-2.6.38
01-08
openswan-2.6.38源码,搬运自openswan.org openswan-2.6.38.tar.gz
openswan-2.4.12
06-24
openswan, openswan-2.4.12, ipsec 官网下载地址 http://ftp.openswan.org/openswan/ http://ftp.openswan.org/openswan/old/openswan-2.4/ /* 无需资源分 */
Openswan-2.6.41源码包
06-16
该源码包是openswan.org提供的最新版本
puppet-openswan
05-17
在IT领域,自动化配置和管理工具的重要性不言而喻,其中Puppet和Openswan就是两个重要的组件。Puppet是一种强大的配置管理框架,而Openswan则是一款用于实现IPsec(Internet Protocol Security)协议的开源软件。...
OpenSSL命令---dsa
VitalityShow(网络通讯)
11-04 3963
dsa命令用于处理DSA密钥、格式转换和打印信息。该命令兼容了传统的SSLeay来用私钥进行加密:新的应用程序必须使用安全的PKCS#8格式。
openswan--X509配置方式
guoyangbill的博客
01-25 545
产生证书的详细的操作步骤。   openssl genrsa -des3 -out server.key 1024   openssl -in server.key -out server.key   openssl rsa -in server.key -out server.key   openssl req -new -key server.key -out server.csr -
十分钟配置Openswan
王以山的专栏
05-28 7986
Openswan是什么,做什么用,我这里不想再说,实在不知道的,就google一下了。理论的上知识也请google,这里呢只想按照1、2、4、 5、6、7这种死步骤配置,保证能配通就OK了。因为网上的这类资料也多也全,只不过呢新手看上去有点困难,也不容易配置成功吧。 一、 系统安装。 1、 下载软件 cd /usr/local/src 我喜欢把程序下载到这个目录。 wget http
centos7搭建gre over ipsec环境
wh_computers的博客
05-24 1350
为了学习ipsec协议,现在需要构造ipsec流量,这里是用ipsec协议封装gre协议 A over B 表示B是底层,A是上层,所以ipsec报文头在gre协议头前面 搭建ipsec环境之前需要先搭建gre环境,参考教程centos7搭建GRE隧道进行通信 根据gre协议搭建教程,两台服务器已经可以通过隧道进行通信,现在只需要对ip层进行加密即可 环境搭建 1.两台服务器都需要做的准备工作 # 1.安装ipsec yum install libreswan # 2.初始化 ipsec i
Openswan介绍
《Linux就是这个范儿》
11-08 9666
Openswan IPSec VPN中最著名的人物应属Openswan。它自带有IPsec内核堆栈KLIPS,更方便的是可以使用2.6内核中的堆栈代码。如果使用2.6及以上内核,不用打补丁NAT就能启作用。Openswan已经内建对x.509和NAT Traversal的支持,使用起来非常的方便。 下载openswan软件包后只要make programs install就可以搞定,然后用i
openswan-ipsec.conf的配置说明
Zhang.Y的专栏
12-15 8501
原文出处:http://www.cnblogs.com/rayz/p/3669319.html Name ipsec.conf - IPsec configuration and connections Description The optional ipsec.conf file specifies most configuration and control infor
ipsec和xl2tpd搭建网对网,点对网***
weixin_34320159的博客
11-21 1304
架构:网对网配置:参考文档:https://libreswan.org/wiki/Configuration_examples#Misc_items安装软件包:yum -yinstall openswan lsof服务器A:leftEth0:192.168.0.210 Eth1:172.16.100.1服务器B:rightEth0:192.168.1.110Eth1:...
IKEv2使用DNSSEC的IPSECKEY资源记录获取公钥的认证流程
redwingz的博客
01-10 1285
以下根据strongswan代码中的testing/tests/ikev2/net2net-dnssec/中的测试环境,来看一下IKEv2协议在协商时不交换证书,而是通过DNSSEC获取对端公钥的认证流程。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟网关moon和sun网关。 网关配置 moon的配置文件:/etc/ipsec.conf,内容如下。注意此处的leftsigkey字段,在stro...
使用L2TP进行双重接入
热门推荐
不以己悲的博客
09-01 1万+
转自:http://wiki.openwrt.org/zh-cn/doc/howto/connect_by_l2tp             http://wiki.openwrt.org/doc/howto/connect_by_l2tp 许多在俄罗斯,乌克兰,以色列及其他一些国家的ISP提供L2TP(第二层隧道协议)的接入方式以连接Internet。在许多情况下,内部资源(FT
openswan对接多个分支时配置文件如何编写
03-25
A: ...- rightauth:认证方式 - rightcert:远程证书 - rightsendcert:是否发送证书 - auto:是否在openswan启动时自动建立连接 需要根据自己的实际需求,修改相应的参数来适配不同的对接场景。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值