strongswan教程

已于 2024-02-20 20:13:18 修改
阅读量1.4k 收藏 20
点赞数 6
文章标签: strongswan
于 2024-02-20 20:09:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jeccisnd/article/details/136197424
版权

在 CentOS 7 上使用 StrongSwan 5.7.2 建立 IPSec VPN 连接,可以按照以下步骤进行配置:

准备3台服务器:

A:192.168.3.209,私网172.18.1.0/24

B:192.168.3.29,私网172.18.2.0/24

C:192.168.3.154,私网10.10.10.0/24

目标如下:

A与B的2个私网网段相互通信,

A与C的2个私网网段相互通信,

B与C的2个私网网段不能通信

1. 安装 StrongSwan 软件包:在两台 CentOS 7 服务器上都需要安装 StrongSwan 软件包。可以使用以下命令安装 StrongSwan:

sudo yum install strongswan

2. 3台服务器都配置路由转发

vi /etc/sysctl.conf

net.ipv4.ip_forward = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0


sysctl -p

3. 配置服务器 A:在服务器 A 上,编辑 StrongSwan 的配置文件 `/etc/ipsec.conf`,并添加以下内容:

#编辑 StrongSwan 的配置文件 `/etc/ipsec.conf`,并添加以下内容:
[root]# cat ipsec.conf
config setup
        # strictcrlpolicy=yes
        # uniqueids = no
conn swan
        left=192.168.3.209
        leftsubnet=172.18.1.0/24
        right=192.168.3.29
        rightsubnet=172.18.2.0/24
        authby=secret
        auto=start

conn swan2
        left=192.168.3.209
        leftsubnet=172.18.1.0/24
        right=192.168.3.154
        rightsubnet=10.10.10.0/24
        authby=secret
        auto=start
#其中,`left` 是本地服务器的 IP 地址,`right` 是远程服务器的 IP 地址。`leftsubnet` 是本地服务器的子网地址,`rightsubnet` 是远程服务器的子网地址。`authby` 指定使用的认证方式,这里使用预共享密钥。`auto` 指定 StrongSwan 自动启动该连接。

#然后,编辑 StrongSwan 的预共享密钥文件 `/etc/ipsec.secrets`,并添加以下内容:

[root]# cat ipsec.secrets
# ipsec.secrets - strongSwan IPsec secrets file
192.168.3.209 192.168.3.29 : PSK "ffffffff"
192.168.3.209 192.168.3.154 : PSK "ffffffff"

#其中,`192.168.1.100` 是本地服务器的 IP 地址,`192.168.2.100` 是远程服务器的 IP 地址。`mysecret` 是预共享密钥。

4.配置服务器 B:在服务器 B 上,执行与服务器 A 相同的步骤,但是需要将 `left` 和 `right` 的值交换。例如,在 `/etc/ipsec.conf` 文件中

[root]# cat ipsec.conf
# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup
        # strictcrlpolicy=yes
        # uniqueids = no

# Add connections here.

# Sample VPN connections

#conn sample-self-signed
#      leftsubnet=10.1.0.0/16
#      leftcert=selfCert.der
#      leftsendcert=never
#      right=192.168.0.2
#      rightsubnet=10.2.0.0/16
#      rightcert=peerCert.der
#      auto=start

#conn sample-with-ca-cert
#      leftsubnet=10.1.0.0/16
#      leftcert=myCert.pem
#      right=192.168.0.2
#      rightsubnet=10.2.0.0/16
#      rightid="C=CH, O=Linux strongSwan CN=peer name"
#      auto=start

conn swan
        left=192.168.3.29
        leftsubnet=172.18.2.0/24

        right=192.168.3.209
        rightsubnet=172.18.1.0/24
        authby=secret
        auto=start
[root]# cat ipsec.secrets
# ipsec.secrets - strongSwan IPsec secrets file
192.168.3.29 192.168.3.209 : PSK "ffffffff"

5.配置服务器 C:在服务器 B 上,执行与服务器 A 相同的步骤,但是需要将 `left` 和 `right` 的值交换。例如,在 `/etc/ipsec.conf` 文件中

[root]# cat ipsec.conf
# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup
        # strictcrlpolicy=yes
        # uniqueids = no

# Add connections here.

# Sample VPN connections

#conn sample-self-signed
#      leftsubnet=10.1.0.0/16
#      leftcert=selfCert.der
#      leftsendcert=never
#      right=192.168.0.2
#      rightsubnet=10.2.0.0/16
#      rightcert=peerCert.der
#      auto=start

#conn sample-with-ca-cert
#      leftsubnet=10.1.0.0/16
#      leftcert=myCert.pem
#      right=192.168.0.2
#      rightsubnet=10.2.0.0/16
#      rightid="C=CH, O=Linux strongSwan CN=peer name"
#      auto=start
conn swan2
        left=192.168.3.154
        leftsubnet=10.10.10.0/24
        right=192.168.3.209
        rightsubnet=172.18.1.0/24
        authby=secret
        auto=start
您在 /var/spool/mail/root 中有新邮件
[root]# cat ipsec.secrets
# ipsec.secrets - strongSwan IPsec secrets file
192.168.3.154 192.168.3.209 : PSK "ffffffff"

6. 各台服务器都启动,注意优先启动A服务器,其次再启动B与C

#启动 StrongSwan 服务:在两台服务器上都启动 StrongSwan 服务,使用以下命令:
sudo systemctl start strongswan

7. 查看链接信息

strongswan statusall

3.209的

3.29的

3.154的

8. 通信检测

A:192.168.3.209,私网172.18.1.0/24

B:192.168.3.29,私网172.18.2.0/24

C:192.168.3.154,私网10.10.10.0/24

在A上可以ping通,B和C的私网

在B上可以ping通A,但是不通C的私网

在C上可以ping通A,但是不通B的私网

无名小倍
关注
  • 6
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Strongswan app 使用IKEv2 EAP 通过 Freeradius EAP认证 连接 Strongswan
taylorgogo
06-11 4745
索引环境安装链接Ubuntu 安装 Strongswan配置 Strongswang配置 Freeradius配置Strongswan VPN APPDebug应用 环境 @Linux uname -a Linux szqsm 4.15.0-73-generic #82-Ubuntu SMP Tue Dec 3 00:04:14 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux @Strongswan ipsec --version Linux strongSwan U5
strongswan介绍
wq897387的专栏
03-12 2万+
strongswan介绍文档翻译
从零开始搭建strongswan
B★R★S的博客
12-21 1万+
转眼一年就这么过去了,补下之前说到的手动搭建strongswan,免得拖到明年。 准备工作 一台linux服务器,这里以Debian10为例 strognswan安装包,官网下载,我用的是5.9.1 一.安装strongswan 1) 更新,添加依赖: apt update -y apt install libpam0g-dev libssl-dev make gcc curl tcpdump -y 2) 解压: 将strongswan安装包上传到linux服务器,解压后进入安装目录 t
查看strongSwan配置IPsec的报文交互过程,捎带测一下转发性能
最新发布
衡水铁头哥的博客
04-24 933
正文共:888 字 15 图,预估阅读时间:1 分钟通过上篇案例(对比华三设备配置,讲解Linux主机如何配置strongSwan),我们已经初步掌握了如何通过strongSwan配置两台Linux主机之间的IPsec隧道。今天我们再来看一下strongSwan配置IPsec的报文交互过程和转发性能。组网图还是上次的拓扑。首先查看一下在配置完strongSwan之后,还没有建立IPsec SA的状...
strongswan全套配置文件
09-23
strongswan全套配置文件
strongswan.sh
01-07
strongswan 插件详情
五、IPSec开源项目strongSwan
小脑斧的博客
08-15 8292
strongSwan是一套完整的IPsec开源实现方案,用来提供服务端和客户端之间的加密和认证。
strongSwan:软件安装简介
hhd1988的专栏
05-18 7868
在ubuntu20.04上 ,strongSwan安装有两种途径: 1、下载源码编译安装 2、图形界面安装
strongSwan报文交互过程
衡水铁头哥的博客
07-28 1625
Connections可以理解为对等体信息,其中前3行是IKE对等体信息,有本端和对端的身份标识以及认证方式;最后一行child就是IPsec连接,模式为TUNNEL隧道模式,因为IPsec SA是基于IKE SA创建的,所以用child来表示也是比较合理的。...
Centos 7.6 Strongswan的搭建及使用
小人物也有大梦想
04-17 8349
一、服务器准备 这个不用我说了吧,我在阿里云购买的香港的服务器。 二、软件安装以及证书生成 1、安装必要的软件(如果你也是在阿里购买的yum源不用配置) yum -y install gpm-devel pam-devel openssl-devel make gcc epel-release strongswan 设置别名 alias ipsec='strongswan' 进入软件目录 cd...
strongswan常用命令解析(二)
jkwanga的博客
11-11 2941
strongswan常用命令解析 0 > ipsec reload //重新加载 ipsec.conf文件 1 > ipsec rereadsecrets //重新加载ipsec.secrets 2 > swanctl --reload-settings //重新加载strongswan.conf 3 > ipsec rereadcacerts //重新加载ca证书 4 > ipsec restart/start/stop //进程控制
centos7搭建基于strongswan ipsec的 l2tp服务器
08-22
centos7下搭建ipsec l2tp服务器,使用strongswan来构建ipsec.
strongswan源代码
02-02
strongswan源代码
strongswan5.6.3
07-03
基于IPSec协议的源代码的实现,如果想好好学习了解IPsec的原理,strongswan是个很好的选择
strongSwan-2.2.1.apk
02-15
2020.2.15日以前Android 最新版本,大家可以去strongswan官网下载,strongswan.org。
[问题随记]-在Centos下安装strongswan以及问题解决
levi的博客
12-19 974
首先在strongswan的官网下载安装包并进行解压,得到的文件通过WinScp拷贝到centos下。进入strongswan-4.5.3文件夹,首先安装如下必要的库。基于centos,使用yum进行安装。则检查依赖库是否安装完成是否有遗漏,清除之前的生成文件,重新加上权限。更新一下软件以及库,然后执行。编译后的文件如下所示。
strongSwan - 功能强大的开源IPsec实现
gitblog_00009的博客
03-07 778
strongSwan - 功能强大的开源IPsec实现 简介 strongSwan是一个开源的、免费的IPsec实现,用于在互联网上建立安全的虚拟私人网络(VPNs)。它支持各种加密算法和身份验证方法,并且可以与其他IPsec实现互操作。 用法 strongSwan可用于多种用途: 建立安全的公司内部网络 连接远程办公人员到公司内网 提供安全的移动访问服务 在Internet上提供安全的Web...
使用StrongSwan配置IPSec
热门推荐
Xiaowo
03-22 5万+
使用StrongSwan对IPSec进行研究,是一种很好的理解IPSec的实践。然而StrongSwan在使用的过程中实在是有太多的坑,网上的教程也多有不完整的地方,几乎没有能彻彻底底说明白每一步的,导致我在使用StrongSwan的过程中各种抓耳挠腮。程序员自然要造福程序员,在这里特将StrongSwan使用中所遇到的完整步骤记录下来,希望有所帮助。准备工作准备工作可不是简单地装个StrongSw
strongswan简单介绍
kernelfish的专栏
04-13 9909
    strongswan是linux平台下的一款ipsec开源工具,和openswan一样都是基于freeswan项目。不过strongswan更侧重于ikev2协议的实现。ikev2(RFC 4306)是ike的第二个版本,它在安全性和功能上都有很大的增强,简化了协议。   strongswan绝大部分代码是用c实现的,支持klips和netkey两种ipsec方式。在ikev2协议中使
strongswan ui
01-02
strongSwan UI是strongSwan项目的一个用户界面,用于管理和配置strongSwan IPsec VPN。 strongSwan是一个开源的IPsec实现,它提供了一种安全通信协议,用于在IPv4和IPv6网络上进行加密和身份验证。strongSwan UI为用户提供了一个方便的途径来管理和配置strongSwan IPsec VPN。 使用strongSwan UI,用户可以通过图形化界面轻松地创建和管理IPsec VPN连接。它提供了一个直观的界面,使用户能够设置IPsec隧道的参数,例如灵活的IPsec策略、证书、密钥和预共享密钥。此外,用户还可以设置远程服务器的地址和端口,并定义网络中允许的子网和IP地址。 strongSwan UI还提供了监控和诊断功能。用户可以查看当前活动的IPsec连接,并监视每个连接的状态和性能。如果发生故障或无法连接,用户可以使用strongSwan UI来诊断问题,查看日志文件,以及执行必要的调试操作。 总之,strongSwan UI为strongSwan IPsec VPN提供了一个友好和简单的管理界面,使用户能够轻松创建、配置和监视IPsec连接。它增强了strongSwan的功能,使其更容易使用和管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值