ubuntu 20.4 + openswan 实现点对点VPN

已于 2023-07-06 15:09:40 修改
阅读量585 收藏
点赞数
分类专栏: ubuntu 文章标签: 网络 linux ubuntu
于 2023-07-06 15:06:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jekc2008/article/details/131576593
版权

需求背景:

多个IDC机房或者办公地点,不同地址位置,用linux系统和软件,组一个局域网,共享网络资源

需求环境:

ubuntu 20.4 + openswan 实现点对点VPN 

需要技能:

熟悉ubuntu,会用日常网络指令

了解网络结构,理解私有和公有IP地址以及范围

编辑ipsec相关配置文件

了解openswan 相关协议和原理

安装流程:

1、下载
wget https://github.com/xelerance/Openswan/archive/refs/tags/v3.0.0.zip

2、解压
unzip v3.0.0.zip

3、移动
mv  源文件夹名称 目标路径

4、依赖
apt-get install libgmp-dev
apt-get install bison
apt-get install flex

5、安装
make programs install

6、检验
ipsec --version

7、配置

修改内核
vi /etc/sysctl.conf
# example entries for /etc/sysctl.conf
# forwarding is needed for subnet or l2tp connections
net.ipv4.ip_forward = 1

# rp_filter is stupid and cannot deal decrypted packets "appearing out of
# nowhere"
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.all.rp_filter = 0

# when using 1 interface for two networks when using NETKEY, the kernel
# kernel thinks it can be clever by sending a redirect (cause it cannot
# tell an encrypted packet came in, but a decrypted packet came out),
# so it sends a bogus ICMP redirect
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv4.conf.default.log_martians = 0
net.ipv4.conf.all.log_martians = 0
# seems the martian settings are not always enough. If not receiving packets
# try running this:
# for n in eth0 mast0 ipsec0 ipsec1 all default ; do sysctl net.ipv4.conf.$n.rp_filter=0; done
#
# these are non-ipsec specific security policies you should use
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0

8、加载内核
sysctl -p

9、安装python
apt install python3
apt install python
apt install python-minimal

10、检验配置
ipsec verify

11、修改配置
vi /etc/ipsec.conf
# /etc/ipsec.conf - Openswan IPsec configuration file
# This file:  /usr/local/share/doc/openswan/ipsec.conf-sample
#
# Manual:     ipsec.conf.5
version 2.0     # conforms to second version of ipsec.conf specification
# basic configuration
config setup
        dumpdir=/var/run/pluto/
        nat_traversal=yes
        virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v6:fd00::/8
        oe=off
        protostack=netkey

conn test                                           # 定义连接名称为openswan_IPsec
        auto=start                                  # 可选择add、route和start
        pfs=no                                       # PFS(Perfect Forward Secrecy)
        compress=no                             # 是否压缩
        type=tunnel                                # 开启隧道模式
        authby=secret                            # 定义认证方式为PSK
        
        ## phase 1 ##
        ike=aes128-sha1;modp1024                             # 按照对端配置定义ike阶段算法和group
        ikelifetime=86400s                                             # ike阶段生命周期
        keyexchange=ike                                               # ike密钥交换方式
        
        ## phase 2 ##
        phase2alg=aes128-sha1;modp1024     # 按照对端配置定义IPsec阶段算法和group
        salifetime=3600s                                    # 二阶段生命周期
        phase2=esp                                            # 二阶段传输格式
        
        # IP配置阶段
        left=59.*.212.*                  # 本地IP,nat场景选择真实的主机地址
        leftid=@left                            # 本地标识ID(可以是@开头的标识,也可以是你的本地IP地址)
        leftsourceip=59.*.212.*               # 存在nat源地址选择nat后IP
        leftsubnet=172.20.0.0/16                 # 本地子网
        leftnexthop=%defaultroute               # nat场景下一跳选择nat后的网关IP(一般按缺省配置)

        right=121.40.168.*                    # 远端IP,nat场景选择真实的主机地址
        rightid=@right                               # 远端标识ID(可以是@开头的标识,也可以是你的本地IP地址)
        rightsourceip=121.40.168.*            # 存在nat源地址选择nat后IP
        rightsubnet=172.23.108.*/20            # 远端子网
        rightnexthop=%defaultroute                # nat场景下一跳选择nat后的网关IP(一般按缺省配置)

# rsakey AQPGLAfkE
        leftrsasigkey=0sAQPGLAfkEfGISg4FfXZqRe47LMX5sGyG+0ec1b5FWDriEpy4tiOvjusVzx2eyP3PTM+J9uKW93GxRugxpqa82O/aegGpnUpWGHBnEBBIvjpiMawrv3RhtCYeXodMKKqI6jhdEYzU69AYHkbPI3jOtk8TVYhaoSEkDRoBkbUzasAXOCrxL6a61G8C8XwOaW0qz+yEaoYwh/Nhc0fz1li/vQWofwXuR7ZQ5FlfDUY+JCgqbIhpmUfA9mRtawqIupYxQO3j55lhX4yUT9mBcRl9dlUNZnNEXL3hvoIABm/O+xMTwM695JBF0lVM5MJ/zizy7TsbHFJlNEPuGMI/An4FseHK0pQwe4BUZ08A8izIiI9ZT4Lp
# rsakey AQOzIeXfR
        rightrsasigkey=0sAQOzIeXfRPL5ODGw97Y6wwotc9LExdihgdfxprYLKukKSpe3oH9G6smILqqkU+8INImuHwpL7mDPqKxDWb/YiYxRgRciXAMkuhq8c/IjcVIbK9EXSmWyPkC1Rn5+cD+2FDUd85FtQWMlEObwLJDC0UxqN5ZoFr7sR0Kur9LqZFS1FlD72E/x3RckY1R/LiR27R83Zv2EXEi1lhYf/ZstKPsGuzlEAzSnyV6jRz9Urz/SFrnyL8vGapiq5p6q+PkBEqsw97Wp8taj8tzK+lH1oxMB4+ArUKhGNk/w+tKPgKrLI8AR2nh2892P6cN0dta83t67k8Mf0ZrOCpxWLcZUnjLkFBvs9fJca3ONXH2RA+jMjn1l


12、配置共享密钥
vi /etc/ipsec.secrets

%any %any : PSK "!@#123"
# %any %any : PSK "预共享密钥",默认是所有的连接都使用共享密钥
# IP地址(标识符) IP地址(标识符) : PSK "预共享密钥",某个连接共享密钥
# left right : PSK "预共享密钥"
# left,right是上述ipsec.conf中指代的IP地址

13、运行ipsec:
/etc/init.d/ipsec start
service ipsec start

14、查看是否建立通道:
/etc/init.d/ipsec status

15、查看隧道建立过程
ipsec auto status

16、监听IPSec建立过程:
tcpdump -i whlp0s20f3 host 59.*.212.*
tcpdump -i whlp0s20f3 host 121.*.168.*


17、在LServer上执行以下命令设置NAT:

iptables -t nat -A POSTROUTING -o eth* -s 59*/24 -d ! 121*/24 -j MASQUERADE


18、在RServer上执行以下命令设置NAT:

iptables -t nat -A POSTROUTING -o eth0 -s 121*/24 -d ! 59*/24 -j MASQUERADE

19、查看状态

ipsec auto status

20、重启

/etc/init.d/ipsec restart

jekc868
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
openswan配置IPSec(tunnel模式,esp封装,rsa认证)
weixin_43190642的博客
12-24 3403
vm1:192.168.182.144 host1:192.168.182.254 9.94.189.225 host2:9.94.189.226 192.168.152.254 vm2:192.168.152.132 环境如图所示,两台物理机充当网关,分别启动一台虚拟机组成局域网。 一、虚拟机启动 使用qume脚本启动,关键信息: -enable-kvm -display none -cpu host -smp 4 -m 4096 -kernel KaTeX .
ubuntu虚拟机搭建IPsec 通讯环境
m0_61043657的博客
05-09 2384
其中 left、leftid是本地可以连接互联网的IP地址,leftsubnet是本地的私有IP网段。其中 left、leftid是本地可以连接互联网的IP地址,leftsubnet是本地的私有IP网段。right、rightsubnet分别对应另一台服务器和另一台服务器下的私有IP网段。按i进入编辑模式,完成编辑后esc+“:wq”保存并退出。按i进入编辑模式,完成编辑后esc+“:wq”保存并退出。在启动服务前启动wireshark!(2)ipsec.secrets编辑。
(一)在ubuntu20.04安装VPN服务
07-14 1万+
主要应用场景:外网调试升级工厂现场设备
OpenVPN点对点虚拟专网通讯简述
bigwood99的博客
05-27 1652
OpenVPN对该包进行封装、加密,向内核写入,此时IP包地址信息为:源地址为d.e.f.y,目的地址为a.b.c.z。内核将信息交给OpenVPN,经过解封装、解密,获得内容,目标地址是tun0(10.10.0.1)最后物理网卡经过封装成帧通过物理链路发送给地址为a.b.c.z的服务器。然后将key'文件复制到d.e.f.y上,如scp、ssh,都可以。--secret,包含静态密码文件,就是上面生成的那个key文件。假设有两台主机,IP为:a.b.c.z和d.e.f.y。此时已经建立了虚拟隧道。
VPN的介绍及自建点对点OpenVPN和使用方法:保姆级详细教程,(windou客户端版)后附脚本
最新发布
m0_58833554的博客
02-23 8316
VPN的基本知识介绍及自建VPN使用方法
openswan源码ubantu下编译、安装、基本环境搭建
遇见你是我最美丽的意外
04-30 9295
openswan的编译过程 1. 下载源码: 对于openswan源码,我们是从官网上下载的。这里提供两个不同的网站: 专门下载openswan源码的网站 ​ openswan官网1源码下载 openswan官网页面 ​ openswan官网2源码下载 2. 在虚拟机上解压后编译: 我解压后的源码目录为:root@ubantu:/usr/src/openswan-2.6.51.5#...
openswan pluto性能优化方法
02-19
openswan源码中的pluto进程在处理隧道数量比较少时效率问题没有那么突出,而当隧道增加到成千上万条时,它的性能问题显得格外的突出。当添加1万~2万条隧道时,cpu的利用率很高,性能下载很多。本文章从优化pluto中...
openswan-2.6.38
01-08
openswan-2.6.38源码,搬运自openswan.org openswan-2.6.38.tar.gz
openswan-2.4.12
06-24
openswan, openswan-2.4.12, ipsec 官网下载地址 http://ftp.openswan.org/openswan/ http://ftp.openswan.org/openswan/old/openswan-2.4/ /* 无需资源分 */
Openswan-2.6.41源码包
06-16
该源码包是openswan.org提供的最新版本
ubuntu环境下多种服务器搭建教程
08-05
这是一个压缩包,里面有多个服务器的搭建教程,包括DHCP\PPTP\L2TP\PPPOE\APACHE等服务器的搭建,内容易懂,适合学习服务的初学者,了解服务器的构建过程。
openSwan-2.4.7.tar.gz
03-22
openSwan是一款开源软件,主要用于实现IPsec(Internet Protocol Security)虚拟私有网络,它为互联网上的通信提供了加密和身份验证服务,从而保障了数据的安全传输。在本文中,我们将深入探讨openSwan 2.4.7这一...
Linux IPsec点到点配置
数据之路-忆梦前程
02-29 7439
linux点到点vpn ipsec配置 Juniper netscreen interop Juniper end point: set ike gateway "GW-01" address Main outgoing-zone "V1-Untrust" preshare "Your PSK Here" proposal "pre-g2-3des-md5" set ike
Linux 内使用 IPSEC 配置网络网络点对点的 ××× 连接
weixin_33778778的博客
09-30 1528
简介目前,全球的许多组织都在使用各种可用的物理连接方法来连接各个办公室。可使用的方式有专用数字线路和虚拟专用网 (Virtual Private Networks, ×××),而后者要比物理线路便宜很多。××× 与专线部署的方式几乎相同,但却可以将几个 LAN 组合成一个并可对流量进行加密以隐藏所传输的数据。当在 ××× 技术中部署加密时,通常会使用开放标准。这涉及到在 IP...
Openswan安装和简单配置
CHN_Zgq's Blog
04-25 2084
本文档只描述了Openswan安装和简单的相关配置,具体情况请按照你所需要的场景进行布置,本文档仅作为一个参考。
使用libreswan搭建ipsec点对点隧道 实现两idc内网网段互通
热门推荐
weixin_43423965的博客
03-25 1万+
使用libreswan搭建ipsec点对点隧道 实现两idc内网网段互通 LibreSwan是IPsec协议的开源实现,它基于FreeSwan项目,可以在RedHat的Linux发行版上使用该软件包。本文我们将使用两台 libreswan 搭建 点对点的ipsec隧道,实现两idc内网互通
VPN --- (虚拟专用网) 详解
w17791476027的博客
04-15 1万+
1.什么是数据认证,有什么作用,有哪些实现的手段? 2.什么是身份认证,有什么作用,有哪些实现的手段? 3.什么VPN技术? 4.VPN技术有哪些分类? 5.IPSEC技术能够提供哪些安全服务? 6.IPSEC的技术架构是什么? 7.AH与ESP封装的异同? 8.IKE的作用是什么? 9.详细说明IKE的工作原理? 10.IKE第一阶段有哪些模式? 有什么区别,使用场景是什么? 11.ipsec在NAT环境下会遇到什么问题? 12.详细分析NAT环境下IPSEC的兼容问题 13.IPSEC是否支持动态协议?
【隧道篇 / IPsec】(7.0) ❀ 01. 利用向导快速建立IPsec安全隧道 (点对点) ❀ FortiGate 防火墙
防火墙技术专栏
04-10 4548
很多人都认为配置防火墙的IPsec VPN是一件非常复杂的工程,其实在FortiGate防火墙上进行配置,是一件无比简单的事情,因为它有很多向导把你的操作简单化了。不信?跟我来看看吧。
Openswan的安装及配置
xueaiwen的博客
12-22 5069
一、系统环境 系统:centos 7 openswan版本:2.6.51.5 二、安装编译 1、下载安装包Openswan-2.6.51.5.zip:https://download.openswan.org/openswan/,将安装包拷贝到安装目录,本人安装到 /usr/local 目录。 2、卸载系统自带的libreswan yum remove libreswan* 3、安装gmp yum install -y gmp* 4、切换到安装目录,解压...
openswan实现多站点互通
03-25
A:要使用OpenSWAN实现多站点互通,需要进行以下步骤: 1.配置OpenSWAN网络 首先,需要在每个站点上安装和配置OpenSWAN。在每个站点上设置网络IP地址,用于区分不同站点的IP地址。确保每个站点的OpenSWAN版本相同,并且在所有站点都启用了IPsec支持。 2.创建隧道 接下来,需要在每个站点上创建一个隧道。在OpenSWAN中,隧道是指加密通道,用于将源和目标站点之间的流量进行加密。在每个站点上使用相同的加密协议配置隧道。应使用相同的加密算法,密钥长度和身份验证方法来设置加密通道。 3.配置路由 然后,需要配置每个站点的路由,使流量能够正确地传递到正确的站点。在每个站点上,需要配置一个默认路由,以便将所有未知的目标流量发送到隧道中。此外,还需要在每个站点上配置其他站点的IP地址作为路由项。 4.测试连接 完成配置后,需要测试站点之间的连接是否可用。可以使用ping命令测试站点之间的连接,以确保流量可以正确地传递到目标站点。如果连接不正常,则需要检查配置,并尝试重新配置路由和隧道。 总的来说,OpenSWAN可以实现多站点之间的加密通信和数据传输,但是需要一些配置和测试才能确保正常运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

jekc868

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值