strongSwan配置

最新推荐文章于 2024-07-06 21:29:36 发布
最新推荐文章于 2024-07-06 21:29:36 发布
阅读量4.2k 收藏 6
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hz5034/article/details/84779136
版权

测试环境使用两台VMware Fusion虚拟机,网络模式为NAT模式,虚拟机主要配置:一个单核CPU、一块网卡、操作系统为CentOS 7
执行dhclient ens33 &后,vm1的ip为192.168.153.128,vm2的ip为192.168.153.130

创建vti

vm1:

ip tunnel add ipsec1 local 192.168.153.128 remote 0.0.0.0 mode vti key 42
ifconfig ipsec1 up

sysctl -w net.ipv4.ip_forward=1
sysctl -w net.ipv4.conf.ip_vti0.disable_policy=1
sysctl -w net.ipv4.conf.ens33.disable_policy=1

vm2:

ip tunnel add ipsec1 local 192.168.153.130 remote 0.0.0.0 mode vti key 42
ifconfig ipsec1 up

sysctl -w net.ipv4.ip_forward=1
sysctl -w net.ipv4.conf.ip_vti0.disable_policy=1
sysctl -w net.ipv4.conf.ens33.disable_policy=1

配置strongswan

vm1:

yum install epel-release -y
yum install strongswan -y

# vi /etc/strongswan/strongswan.d/charon.conf
install_routes = no

# vi /etc/strongswan/ipsec.conf
conn vco-vtitest
      keyexchange=ikev2
      aggressive=yes
      left=192.168.153.128
      right=192.168.153.130
      leftid=sun
      rightid=moon
      leftsubnet=20.20.20.0/24
      rightsubnet=30.30.30.0/24
      leftsendcert=never
      authby=psk
      auto=route
      ike=aes-sha1-modp3072
      esp=aes-sha1-modp3072
      type=tunnel
      mark=42

# vi /etc/strongswan/ipsec.secrets
sun moon : PSK "bbss2gvpg0r1ts5w"

vm2:

yum install epel-release -y
yum install strongswan -y

# vi /etc/strongswan/strongswan.d/charon.conf
install_routes = no

# vi /etc/strongswan/ipsec.conf
conn vco-vtitest
      keyexchange=ikev2
      aggressive=yes
      left=192.168.153.130
      right=192.168.153.128
      leftid=moon
      rightid=sun
      leftsubnet=30.30.30.0/24
      rightsubnet=20.20.20.0/24
      leftsendcert=never
      authby=psk
      auto=route
      ike=aes-sha1-modp3072
      esp=aes-sha1-modp3072
      type=tunnel
      mark=42

# vi /etc/strongswan/ipsec.secrets
moon sun : PSK "bbss2gvpg0r1ts5w"

配置路由

vm1:

ip addr add 20.20.20.1/32 dev lo
ip route add 30.30.30.0/24 dev ipsec1

vm2:

ip addr add 30.30.30.1/32 dev lo
ip route add 20.20.20.0/24 dev ipsec1

启动strongswan、更新配置、协商

/usr/sbin/strongswan start --daemon charon

/usr/sbin/strongswan update

/usr/sbin/strongswan stroke down vco-vtitest
/usr/sbin/strongswan stroke up vco-vtitest

注意

1、keyexchange=ikev2,不是ikev1
2、修改PSK后需要执行/usr/sbin/strongswan rereadsecrets生效
3、执行swanctl --list-sas查看ipsec隧道状态
4、发起方能ping通接收方(ping 30.30.30.1 -I 20.20.20.1),在发起方访问接收方前,接收方不能ping通发起方

hz5034
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
strongMan:StrongSwan的管理UI
05-01
强人 strongMan是StrongSwan的管理界面。 StrongMan基于Django和Python,提供了一个用户友好的图形界面来配置和建立IPsec连接。 它支持 RSA / ECDSA非对称加密 带有用户名和密码的EAP EAP-TLS 服务器认证回合 StrongMan应用程序实现了持久连接和非对称密钥管理。 实现了几种常见的连接用例,可以在几个配置步骤中使用它们。 直接从git仓库运行 要求: 带vici插件的strongSwan python3 / pip3 运行以下命令以安装StrongMan。 git clone https://github.com/strongswan/strongMan.git cd strongMan sudo ./setup.py install 我们已在所有虚拟环境中安装了StrongMan及其所有要求,并将默认用户加载到数据
使用StrongSwan配置IPSec
热门推荐
Xiaowo
03-22 5万+
使用StrongSwan对IPSec进行研究,是一种很好的理解IPSec的实践。然而StrongSwan在使用的过程中实在是有太多的坑,网上的教程也多有不完整的地方,几乎没有能彻彻底底说明白每一步的,导致我在使用StrongSwan的过程中各种抓耳挠腮。程序员自然要造福程序员,在这里特将StrongSwan使用中所遇到的完整步骤记录下来,希望有所帮助。准备工作准备工作可不是简单地装个StrongSw
查看strongSwan配置IPsec的报文交互过程,捎带测一下转发性能
衡水铁头哥的博客
04-24 939
正文共:888 字 15 图,预估阅读时间:1 分钟通过上篇案例(对比华三设备配置,讲解Linux主机如何配置strongSwan),我们已经初步掌握了如何通过strongSwan配置两台Linux主机之间的IPsec隧道。今天我们再来看一下strongSwan配置IPsec的报文交互过程和转发性能。组网图还是上次的拓扑。首先查看一下在配置strongSwan之后,还没有建立IPsec SA的状...
strongswan教程
Jecci
02-20 1485
4.配置服务器 B:在服务器 B 上,执行与服务器 A 相同的步骤,但是需要将 `left` 和 `right` 的值交换。例如,在 `/etc/ipsec.conf` 文件中。5.配置服务器 C:在服务器 B 上,执行与服务器 A 相同的步骤,但是需要将 `left` 和 `right` 的值交换。例如,在 `/etc/ipsec.conf` 文件中。在B上可以ping通A,但是不通C的私网。在C上可以ping通A,但是不通B的私网。在A上可以ping通,B和C的私网。A与B的2个私网网段相互通信,
strongswan_config:strongswan配置
06-04
strongswan_config
strongSwan.conf报错syntax error, unexpected ., expecting : or '{' or '=' [.] 解决办法
BLOG CodingJiang = new BLOG (“hello world”);
05-27 5662
版本更新旧的配置文件失效 解决办法: charon { load_modular=yes duplicheck.enable=no compress = yes plugins { include strongswan.d/charon/*.conf } dns1 ...
Linux配置strongSwan
衡水铁头哥的博客
07-28 6221
strongSwan是一个开源的基于IPsec的VPN解决方案,最近要用到strongSwan来对接其他系统的IPsec,不能贸然行动,先在Linux环境下测试一下相同环境下如何配置
Strongswan的部分配置
qq_47529104的博客
05-03 1025
配置文件 left为本机,right为对端 共享密钥文件
strongswan编译、配置
weixin_42548573的博客
06-23 4685
想知道怎么配置StrongSwan,首先要知道自己想搭建一个什么样的场景 在StrongSwan的官网上,我们可以在左侧找到TestScenarios,这里有许多场景,我们需要决定我们到底要再现哪一个。 进去之后点开strongSWan test suits: ...
strongswan全套配置文件
09-23
strongswan全套配置文件
android strongswan1.9.6 客户端下载
06-16
由于系统设置默认必须用积分,这个大家可以去strongswan官网下载。官网地址:https://download.strongswan.org/Android/
centos7搭建基于strongswan ipsec的 l2tp服务器
08-22
centos7下搭建ipsec l2tp服务器,使用strongswan来构建ipsec.
aws-vpnautoconf:在VPC端创建vpn隧道,提取配置,将配置应用到Strongswan端点并启动隧道
05-14
aws-vpnautoconf 在VPC端创建vpn隧道,提取配置,将配置应用到Strongswan端点并启动隧道。
Strongswan — 常用配置说明
烟云的计算
04-05 3006
目录 文章目录目录GRE over IPSec GRE over IPSec GRE over IPSec,首先通过 GRE 对报文进行封装,然后再由 IPSec 对封装后的报文进行加密和传输。协议栈结构如下: 这种做法实现了两个 Peer 之间安全,底层怎么路由,封装 IPsec 都不管。常见的 L2TP,譬如 IP over IP 等等,其实也都是属于这个范畴的。这种做法的缺点是两端需要单独再起一个服务来实现这些封装。 ...
StrongSwan安装部署、配置使用方法总结
sway913的博客
05-07 2万+
StrongSwan官网:https://www.strongswan.org/ 下载地址:https://www.strongswan.org/download.html 一、StrongSwan安装 1.编译安装 1.我习惯创建/opt/package目录,用于存放下载的程序包文件 [root@ecs-e84a package]# mkdir -p /opt/package...
strongSwan穿越NAT与公网VSR对接IPsec配置案例
最新发布
衡水铁头哥的博客
07-06 625
正文共:555 字 7 图,预估阅读时间:1 分钟通过上次的案例(配置strongSwan和H3C VSR的IPsec对接案例),我们已经掌握了strongSwan和VSR基于IKEv1主模式进行对接的配置方法。有同学提出,实际使用中穿越NAT在所难免,其实这种也好解决,按照前面配置H3C的思路,我们调整对应的配置为野蛮模式+FQDN应该就可以了。本次我们先把VSR作为公网端,strongSwan...
VSR公网对接strongSwan NAT穿越
衡水铁头哥的博客
07-28 1052
实际使用中穿越NAT在所难免,其实这种也好解决,按照前面配置H3C的思路,我们调整对应的配置为野蛮模式+FQDN应该就可以了。
strongswan ipsec环境搭建及swanctl.conf配置含ca证书配置(tunnel模式,ah封装,rsa认证)
weixin_43190642的博客
12-24 7778
vm1:192.168.182.144 host1:192.168.182.254 9.94.189.225 host2:9.94.189.226 192.168.152.254 vm2:192.168.152.132 环境如图所示,两台物理机充当网关,分别启动一台虚拟机组成局域网。 一、虚拟机启动 使用qume脚本启动,关键信息: -enable-kvm -display none -cpu host -smp 4 -m 4096 -kernel KaTeX p
看了一次strongswan ipsec的设置.
塞子 迷糊地....
07-15 1264
测试使用 strongswan与 hillstone防火墙建立ipsec连接
strongswan配置
05-18
strongSwan是一个开源的IPsec实现,用于建立VPN连接。以下是在Linux上配置strongSwan的步骤: 1. 安装strongSwan 在Ubuntu和Debian上安装strongSwan,可以使用以下命令: ``` sudo apt-get update sudo apt-get install strongswan ``` 2. 配置IPsec 编辑strongSwan的主配置文件`/etc/ipsec.conf`,并添加以下内容: ``` conn myvpn left=%defaultroute leftsubnet=0.0.0.0/0 leftfirewall=yes right=<远程服务器IP地址> rightsubnet=0.0.0.0/0 rightfirewall=yes ike=aes256-sha256-modp2048 esp=aes256-sha256-modp2048 keyexchange=ikev2 auto=start ``` 这个配置文件定义了一个名为“myvpn”的连接,其中`left`和`right`分别代表本地和远程服务器的IP地址。`leftsubnet`和`rightsubnet`指定了允许的IP地址范围。`ike`和`esp`定义了加密和哈希算法,`keyexchange`定义了IKE版本。 3. 配置证书 在strongSwan中,需要使用证书来进行身份验证。首先,需要创建一个CA证书: ``` ipsec pki --gen --type rsa --size 4096 --outform pem > ca.key ipsec pki --self --ca --lifetime 3650 --in ca.key --type rsa --dn "C=US, O=StrongSwan, CN=strongswan.org CA" --outform pem > ca.crt ``` 然后,需要为本地服务器和远程服务器创建证书: ``` ipsec pki --gen --type rsa --size 4096 --outform pem > server.key ipsec pki --pub --in server.key --type rsa | ipsec pki --issue --lifetime 1825 --cacert ca.crt --cakey ca.key --dn "C=US, O=StrongSwan, CN=<本地服务器IP地址>" --san="<本地服务器IP地址>" --san="<本地服务器主机名>" --flag serverAuth --outform pem > server.crt ipsec pki --gen --type rsa --size 4096 --outform pem > client.key ipsec pki --pub --in client.key --type rsa | ipsec pki --issue --lifetime 1825 --cacert ca.crt --cakey ca.key --dn "C=US, O=StrongSwan, CN=<远程服务器IP地址>" --san="<远程服务器IP地址>" --san="<远程服务器主机名>" --flag clientAuth --outform pem > client.crt ``` 4. 配置密钥 编辑`/etc/ipsec.secrets`文件,添加以下内容: ``` <本地服务器IP地址> : RSA server.key <远程服务器IP地址> : RSA client.key ``` 这个文件定义了本地服务器和远程服务器的私钥。 5. 启动IPsec 最后,启动IPsec服务: ``` sudo systemctl start strongswan ``` 完成以上步骤后,您的strongSwan VPN应该已经配置完成。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值