Linux IKE daemon “pluto”

最新推荐文章于 2023-11-17 08:13:30 发布
最新推荐文章于 2023-11-17 08:13:30 发布
阅读量1.9k 收藏 2
点赞数 1
分类专栏: Linux/Unix

        原文大家可以参考http://www.tldp.org/HOWTO/Linux+IPv6-HOWTO/x2428.html。我这里只翻译了关于pluto这部分。文章可能稍微有些过时,不过还是有很大的参考价值的。例如在较老的Linux内核版本一般安装的是openswan,由于版权还是别的什么问题,现在改为了libreswan。

        IKE daemon "pluto包含在*S/WAN项目中。*S/WAN项目最开始是FreeS/WAN。很不幸,FreeS/WAN项目在2004年停止了开发。因为过去开发进度缓慢,两个新的分支项目开始了:strongSwan和Openswan。今天,Openswan至少在Linux系统是可安装的包。(例如Fedora Core 3).

        和"racoon"最大的不同,pluto只需要一个配置文件。当然,一个initscript用来在启动的时候做自动配置。

20.3.2.1. 配置IKE daemon “pluto”

配置文件和IPv4的非常类似,只有一个重要的选项是必须的。

文件: /etc/ipsec.conf

# /etc/ipsec.conf - Openswan IPsec configuration file
#
# Manual:     ipsec.conf.5
version 2.0     # conforms to second version of ipsec.conf specification

# basic configuration
config setup
        # Debug-logging controls:  "none" for (almost) none, "all" for lots.
        # klipsdebug=none
        # plutodebug="control parsing"

#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf

conn ipv6-p1-p2
        connaddrfamily=ipv6       # Important for IPv6!
        left=2001:db8:1:1::1
        right=2001:db8:2:2::2
        authby=secret
        esp=aes128-sha1
        ike=aes128-sha-modp1024
        type=transport
        #type=tunnel
        compress=no
        #compress=yes
        auto=add
        #auto=start

不要忘记定义pre-shared密钥

文件: /etc/ipsec.secrets

2001:db8:1:1::1 2001:db8:2:2::2 : PSK      "verysecret"

20.3.2.2. 运行IKE daemon “pluto”

如果Openswan安装成功,一个initscript脚步可以用来启动IPsec,非常简单(在两端都运行):

# /etc/rc.d/init.d/ipsec start

然后,开始在一端启动。如果你看到"IPsec SA established"这一行,那么一切正常。

# ipsec auto --up ipv6-peer1-peer2
104 "ipv6-p1-p2" #1: STATE_MAIN_I1: initiate
106 "ipv6-p1-p2" #1: STATE_MAIN_I2: sent MI2, expecting MR2
108 "ipv6-p1-p2" #1: STATE_MAIN_I3: sent MI3, expecting MR3
004 "ipv6-p1-p2" #1: STATE_MAIN_I4: ISAKMP SA established
112 "ipv6-p1-p2" #2: STATE_QUICK_I1: initiate
004 "ipv6-p1-p2" #2: STATE_QUICK_I2: sent QI2,
¬ IPsec SA established {ESP=>0xa98b7710 <0xa51e1f22}

因为 *S/WAN 和setkey/racoon 在Linux 2.6内核中使用相同的IPsec,所以可以使用"setkey"命令显示当前活跃的参数:

# setkey -D
2001:db8:1:1::1 2001:db8:2:2::2
        esp mode=transport spi=2844489488(0xa98b7710) reqid=16385(0x00004001)
        E: aes-cbc  082ee274 2744bae5 7451da37 1162b483
        A: hmac-sha1  b7803753 757417da 477b1c1a 64070455 ab79082c
        seq=0x00000000 replay=64 flags=0x00000000 state=mature
        created: Jan  1 21:16:32 2005   current: Jan  1 21:22:20 2005
        diff: 348(s)    hard: 0(s)      soft: 0(s)
        last:                           hard: 0(s)      soft: 0(s)
        current: 0(bytes)       hard: 0(bytes)  soft: 0(bytes)
        allocated: 0    hard: 0 soft: 0
        sadb_seq=1 pid=23825 refcnt=0
2001:db8:2:2::2 2001:db8:1:1::1
        esp mode=transport spi=2770214690(0xa51e1f22) reqid=16385(0x00004001)
        E: aes-cbc  6f59cc30 8d856056 65e07b76 552cac18
        A: hmac-sha1  c7c7d82b abfca8b1 5440021f e0c3b335 975b508b
        seq=0x00000000 replay=64 flags=0x00000000 state=mature
        created: Jan  1 21:16:31 2005   current: Jan  1 21:22:20 2005
        diff: 349(s)    hard: 0(s)      soft: 0(s)
        last:                           hard: 0(s)      soft: 0(s)
        current: 0(bytes)       hard: 0(bytes)  soft: 0(bytes)
        allocated: 0    hard: 0 soft: 0
        sadb_seq=0 pid=23825 refcnt=0

jjw97_5
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openswan的Pluto源码分析以及linux的IPsec内核源码分析
11-08
对openswan的Pluto源码和linux的IPsec内核源码进行了详细的分析,对于理解openswan的运行机制以及linux的IPsec实现很有帮助
linux ipsec pluto不生效定位
aashuii的博客
09-09 552
ipsec pluto不生效定位
IPSEC_PLUTO(8) - IKE管理接口
Rain
07-24 3584
IPSEC_PLUTO NAME ipsec_pluto - ipsec whack: IKE管理接口 SYNOPSIS ipsec pluto [--help] [--version] [--optionsfrom filename] [--nofork] [--stderrlog] [--use-auto] [--
IPSec中pluto框架和函数接口
03-29
该文档主要用来介绍IPsec是模块中pluto的框架、基本原理简介、函数调用关系、主要函数接口说明。例如包含:主模式和野蛮模式报文交互流程和函数接口、IKE协商、内核函数接口等
如何使用 Pluto 快速检测已弃用的 Kubernetes API
最新发布
easylife206的专栏
11-17 227
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !前言Kubernetes版本不断迭代中,Kubernetes API 也一直在变化。随着这些更改的出现,API 的某些部分被弃用并最终被删除。为了能够保持最新的 Kubernetes 集群版本,我们必须识别不推荐使用的 API 并更新它们。在实际环境中,我们已经将资源部署到Kubernetes集群中,并希望API版本...
ipsec 及IKE原理
04-06
ipsec IKE PKI 防火墙 linux
Internet密钥交换(IKE)及其在Linux系统中的实现.pdf
09-07
《Internet密钥交换(IKE)及其在Linux系统中的实现》 Internet密钥交换协议(IKE,Internet Key Exchange)是IPSec(Internet Protocol Security)框架的重要组成部分,它负责管理和协商两个通信实体之间的安全关联...
IPSec及IKE原理
11-14
此外,IPSec还包括密钥管理协议,如IKE(Internet Key Exchange),用于密钥的生成、分发和更新。 【IPSec的安全特点】 1. **数据完整性**:通过AH和ESP协议,IPSec可以确保数据在传输过程中未被修改。 2. **数据...
RFC for IKE
07-10
RFC for IKE, IKE is becoming more and more important for IPSec, PKI, etc.
PLUTO SDR ,使用GNU Radio 和 SDR# ,搭建简单FM接收
Master_0_的博客
06-17 5176
PLUTO SDR ,使用GNU Radio 和 SDR# ,搭建简单FM接收
linux c ike协议,IPSEC中IKE协议在LINUX上的实现和研究
weixin_39922004的博客
05-15 111
摘要:论文主要研究了IPSEC协议族中,用于建立安全联盟和密钥管理的协议——IKE协议(Internet Key Exchange protocol)的详细内容,实现细节,以及协议本身的优缺点,同时对IKE协议中的积极模式进行实现,并对积极模式的缺点进行改进和有益的探讨. 首先介绍了IPSEC协议.它是针对TCP/IP协议族中缺乏安全保证而开发的,通过在IP层实现来解决安全问题.IPSEC可以分成...
Pluto实现总结
rtmdk的博客
08-30 7818
Pluto实现总结 1. ike默认使用的udp端口为500,如果激活了NAT-Traversal功能,就需要pluto监听udp4500端口 2. pluto支持在不同的操作系统使用不同的ip协议栈,默认使用--use-netkey,或者使用--use-klips, --use-mast,--use-bsdkame, --use-win2k or --use-nostack 3. plut
pluto实现分析(1)——前言、IKEv1概述、源文件概述
bytxl的专栏
09-25 2704
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。 msn: yfydz_no1@hotmail.com 来源:http://yfydz.cublog.cn 1. 前言 pluto是著名的VPN开源项目freeswan及其后续项目中的一个重要组成部分,实现了IKEv1(RFC2409),原始的fre
IPSec configuration procedure
不停游泳的鱼
08-14 6958
In this section, we will provide procedure of IPSEC in ahost-host transport mode, and IPsec keys can be implemented as manual keys, asshared
linux系统常用命令
weixin_45415743的博客
08-16 261
9.2收集进程信息 显示当前终端(TTY)中的进程 $ ps PID TTY TIME CMD 33077 pts/2 00:00:00 bash 33099 pts/2 00:00:00 ps # ps -f UID PID PPID C STIME TTY TIME CMD root 33077 33060 0 13:22 pts/2 00:00:00 -bash root 33100 .
【译】IPSEC.CONF(5) - IPsec配置
u014089899的博客
05-30 5617
NAMEipsec.conf —— IPsec配置DESCRIPTIONipsec.conf指定了Openswan IPsec子系统的大多数配置和控制信息。include ipsec.*.conf 包含指定的配置文件CONN SECTIONSconn项定义了一个IPsec连接的规范,名字可以随意定义。例如:conn snt left=10.11.11.1 leftsubnet=10...
我对ipsec的感觉
塞子 迷糊地....
02-10 810
linux中 ipsec的一些特点
Mac和Linux 查找8080端口
pluto的博客专栏
05-15 2318
mac :   lsof -i:8080 linux : neststat -anltp | grep 8080

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值