IPSec的搭建

最新推荐文章于 2024-07-25 10:43:28 发布
最新推荐文章于 2024-07-25 10:43:28 发布
阅读量6.4k 收藏 20
点赞数 2
分类专栏: 运维人生 文章标签: ipsec
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42235364/article/details/119724802
版权
本文档详细介绍了如何在CentOS6.5系统上,基于StrongSwan 5.8.0版本配置IPSec隧道,包括安装依赖、下载编译StrongSwan、配置ipsec.conf和ipsec.secrets文件、调整防火墙设置以及网卡配置,最后进行了连接测试,确保隧道建立成功。
摘要由CSDN通过智能技术生成

1.环境说明


本次安装基于CentOS 6.5(内核版本 2.6.32-431.el6.x86_64),其他linux版本命令有可能有出入。
StrongSwan 版本为5.8.0,本方案介绍基于预共享密钥的方式。

2.CentOS 端配置步骤 

1)安装依赖的库:

yum install pam-devel openssl-devel make gcc


2)下载strongswan:

wget http://download.strongswan.org/strongswan.tar.gz


3)解压strongswan:

tar -xzf strongswan.tar.gz


4)进入解压文件:

cd strongswan-*(*代表当前 StrongSwan 版本,目前最新版本是 5.8.0)


5)编译strongswan:


./configure --enable-eap-identity --enable-eap-md5 \--enable-eap-mschapv2 --enable-eap-tls
-- enable-eap-ttls --enable-eap-peap \--enable-eap-tnc --enable-eap-dynamic --enable-eapradius
--enable-xauth-eap \--enable-xauth-pam --enable-dhcp --enable-openssl --
enableaddrblock --enable-unity \--enable-certexpire --enable-radattr --enable-tools --enableopenssl
--disable-gmp


6) 编译并安装:

make && make install


#编译安装完后没有报错,并且使用命令 ipsec version 能出现版本信息,则表示 安装成功
[root@localhost strongswan-5.8.0]# ipsec version
Linux strongSwan U5.8.0/K2.6.32-431.el6.x86_64
University of Applied Sciences Rapperswil, Switzerland
See 'ipsec --copyright' for copyright information.


7) 配置strongswan 


A. vim /usr/local/etc/ipsec.conf
参考以下配置,对ipsec.conf进行修改(A.A.A.A是本端公网地址,B.B.B.B是对端公网地址)

# ipsec.conf - strongSwan IPsec configuration file
# basic configuration
config setup
# strictcrlpolicy=yes
uniqueids = no
# Add connections here.
conn %default
ikelifetime=1440m
keylife=200m
rekeymargin=30m
keyingtries=1
keyexchange=ikev1
dpddelay=10s
authby=secret
ike=3des-md5-modp1024
esp=des-md5
conn gansu-tunnel
left=%any
leftid=A.A.A.A
leftsubnet=11.10.11.0/24
leftfirewall=no
right=B.B.B.B
rightsubnet=10.251.90.231/32
rightid=B.B.B.B
auto=start
type=tunnel
# Sample VPN connections
#conn sample-self-signed
# leftsubnet=10.1.0.0/16
# leftcert=selfCert.der
# leftsendcert=never
# right=192.168.0.2
# rightsubnet=10.2.0.0/16
# rightcert=peerCert.der
# auto=start
#conn sample-with-ca-cert
# leftsubnet=10.1.0.0/16
# leftcert=myCert.pem
# right=192.168.0.2
# rightsubnet=10.2.0.0/16
# rightid="C=CH, O=Linux strongSwan CN=peer name"
# auto=start
注:配置文件中的参数
uniqueids = no (关闭ID唯一性,允许多设备同时在线)
ike=3des-md5-modp1024 (IKE的加密模式)
esp=des-md5 (ESP的加密模式)
conn gansu-tunnel (通道名称,在对端配置上会显示)
left=%any ( left表示local,即本地端(服务器端)IP地址,也就是保护地址;
%any是魔数字,表示任意地址)
leftsubnet=11.10.11.0/24 (本地端IP地址段)
leftid=A.A.A.A (本地端公网地址,就是隧道地址)
right=B.B.B.B (远程段地址,也就是对端地址)
rightsubnet=10.251.90.231/32 (对端保护地址段,目前这个设置就是指定对端特定的IP地址)
rightid=B.B.B.B (对端公网地址)

B. vim /usr/local/etc/ipsec.secrets
添加以下内容:
A.A.A.A B.B.B.B : PSK "gansuyouxian"

8)配置防火墙

A. vim /etc/sysctl.conf
找到 net.ipv4.ip_forward = 0 ,将 0 改为 1,即:net.ipv4.ip_forward = 1
B. 执行 sysctl -p
[root@localhost etc]# sysctl -p

net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
error: "net.bridge.bridge-nf-call-ip6tables" is an unknown key
error: "net.bridge.bridge-nf-call-iptables" is an unknown key
error: "net.bridge.bridge-nf-call-arptables" is an unknown key
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 68719476736
kernel.shmall = 4294967296


执行完后结果应该如上所示
C. 测试环境关闭 Linux 防火墙,生产环境按需配置
service iptables stop
D. 开启 ipsec start
[root@localhost strongswan-5.8.0]# ipsec start
Starting strongSwan 5.8.0 IPsec [starter]...
E.查看 ipsec状态
[root@localhost strongswan-5.8.0]# ipsec status
Security Associations (1 up, 0 connecting):
gansu-tunnel[1]: ESTABLISHED 17 hours ago,
A.A.A.A[A.A.A.A]...B.B.B.B[B.B.B.B]
gansu-tunnel{7}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: caa5ba69_i 00008bc5_o
gansu-tunnel{7}: 11.10.11.0/24 === 10.251.90.231/32
出现以上信息,说明隧道建立成功,可以进行保护地址之间的信息传输。

9)配置网卡信息


在建立好隧道之后,需要在本地对网卡进行设置
A.添加一块网卡配置,具体信息如下:
配置目录:/etc/sysconfig/network-scripts/
网卡名称:ifcfg-lo:1
网卡配置信息:

DEVICE=lo:1
IPADDR=11.10.11.1
NETMASK=255.255.255.0
BROADCAST=127.255.255.255
ONBOOT=yes
NAME=loopback


B.配置完成后,重启网卡
service network restart
重启完成后,查看网卡信息:

[root@localhost network-scripts]# ifconfig
eth0 Link encap:Ethernet HWaddr 52:54:00:23:DD:22
inet addr:A.A.A.A Bcast:A.A.A.255 Mask:255.255.255.0
inet6 addr: fe80::5054:ff:fe23:dd22/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1870158 errors:0 dropped:0 overruns:0 frame:0
TX packets:382896 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1406612540 (1.3 GiB) TX bytes:45551627 (43.4 MiB)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:6 errors:0 dropped:0 overruns:0 frame:0
TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:624 (624.0 b) TX bytes:624 (624.0 b)
lo:1 Link encap:Local Loopback
inet addr:11.10.11.1 Mask:255.255.255.0
UP LOOPBACK RUNNING MTU:16436 Metric:1 

2.7 连接测试
A.关闭IPSec
关闭IPSec服务后,隧道关闭,无法通过隧道访问对端保护地址


B.开启IPSec
开启IPSec服务后,隧道打开,与对端保护地址可进行通讯,进行业务访问。

 


此时,IPSec服务边搭建完成了,可进行相应的业务部署。 

配置参考文档:https://blog.51cto.com/yimiyinei/2155652
                         https://help.aliyun.com/document_detail/57412.html

 

运维技工
关注
专栏目录
L2TP/IPSEC搭建详细步骤
goinggo的博客
09-12 2万+
长沙分公司访问北京总公司的办公OA业务,本文利旧总公司的linux服务器搭建L2TP/IPSEC打通两地内网,达到安全访问的目的。
Centos7.5 系统使用L2TP/IPSec搭建服务器
weixin_34037515的博客
10-09 6485
一、L2TP介绍1、L2TP定义L2TP(Layer 2 Tunneling Protocol,二层隧道协议),通过公共网络(如Internet)上建立点到点的L2TP隧道,将PPP(Point-to-Point Protocol,点对点协议)数据帧封装后通过L2TP隧道传输,使得远端用户利用PPP接入公共网络后,能够通过L2TP隧道与企业内部网络通信...
IPSEC
weixin_43385243的博客
09-15 244
IPSEC 私密性: 对称算法:加密的是数据,通信双方用公共的钥匙。40~256 非对称算法:加密的是对称算法的钥匙,它有一对钥匙,通常为公钥,私钥,公钥通常让对端或通信一端都有,但私钥只属于自己,当A与B通信时,A将自己的对称算法的钥匙用B的公钥加密,然后发送给B,B收到A的加密报文,用自己的私钥解密,从而得到A的对称算法的钥匙。 当A正常通信时,A把密文、钥匙用B的非对称算法公钥加密...
cisco设备搭建ipsec ***服务器全过程
weixin_34144450的博客
12-23 389
在公司的南京办事处与上海办事处之间建立×××联接。  南京办事处网络设置:  内网IP 10.1.1.0/24  外网IP 202.102.1.5/24  上海办事处网络设置:  内网IP 10.1.2.0/24  外网IP 202.102.1.6/24    南京路由器配置  !  service timestamps debug uptime  service times...
网络安全防御【IPsec VPN搭建
最新发布
miss_copper的博客
07-25 2051
防火墙的g0/0/0口默认的IP地址为192.168.0.1/24;但是我们需要在浏览器中打开FW2的web服务就需要将g0/0/0接口的IP地址修改为192.168.142.40/24与我们Clound中虚拟网卡通一个网段才行。20、将双机热备改成主备模式,通过内网的VPN设备构建一条到达分公司的IPsec VPN通道,保证10.0.2.0/24网段可以访问到192.168.1.0/24网段。登录成功之后需要修改你的密码才能进入防火墙的用户视图。IPsec策略协商成功!成功修改为主备模式!
iPsec搭建使用
12-13
主要讲的是IPsec搭建,非常详细,图解配文字,一般人都看得懂吧
centos7 L2TP/ipsec 搭建
zerotoall的博客
06-07 5627
centos7 L2TP/ipsec 搭建
ipsec搭建
weixin_34361881的博客
05-19 1334
ipsec简介IPSec(InternetProtocolSecurity)是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的***。在通信中,只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows 2000、Windows XP 和 Windows Server 2003 家族中,IPSec 提供了一种...
阿里云 ubuntu16.04搭建IPSec服务
01-20
IPSec简介 IPSec(Internet Protocol Security):是一组基于网络层的,应用密码学的安全通信协议族。IPSec不是具体指哪个协议,而是一个开放的协议族。 IPSec协议的设计目标:是在IPV4和IPV6环境中为网络层流量...
H3C-IPSec方案部署
Galdys的专栏
11-23 2766
IPSec方案部署 通过前面几期的介绍可以发现IPSec所涉及的参数很多,在具体方案部署过程中有许多灵活选择的地方,本期专栏就专门对IPSec在几种典型环境中的方案部署进行介绍。 一、              常规IPSec方案 上图所示网络环境是最基本的IPSec应用场景: 1.       响应方无论在何种环境都是固定的公网地址; 2.       发起方也是固定的公网地址
配置ipsec步骤详解
12-10
IPSec(IP Security)是 IETF为保证在Internet上传送数据的安全保密性,而制定的框架协议 应用在网络层,保护和认证用IP数据包 是开放的框架式协议,各算法之间相互独立 提供了信息的机密性、数据的完整性、用户的验证和防重放保护 支持隧道模式和传输模式
建立点到多点的IPSec隧道(IKE安全策略方式)
友人A的博客
07-09 2311
主机PC1与PC2、PC3之间可以安全的通信,PC2、PC3通过USG5500A进行安全通信,USG5500A与USG5500B、USG5500C之间使用IKE自动协商建立安全通道,USG5500B、USG5500C不直接建立任何IPSec连接。 USG5500A与USG5500B、USG5500C均为固定公网地址。
ICG技术专栏---IPSec方案部署
Sun_Rise2011的专栏
12-09 938
通过前面几期的介绍可以发现IPSec所涉及的参数很多,在具体方案部署过程中有许多灵活选择的地方,本期专栏就专门对IPSec在几种典型环境中的方案部署进行介绍。 一、              常规IPSec方案 上图所示网络环境是最基本的IPSec应用场景: 1.       响应方无论在何种环境都是固定的公网地址; 2.       发起方也是固定的公网地址; 3.       双
Windows网络服务之配置IPsec ***
weixin_34233856的博客
05-19 884
前面的文章中介绍了怎么用radius来集中管理***服务器,以及***服务器上访问控制策略的应用。 本文将简单介绍一下IPsec ***的实现方式。 通过把***和IPsec进行要效的结合,可以达到更好的身份验证和安全性。 基于IPsec的***方式将采用L2TP进行连接。 在实验之前,我们首先确保客户端可以通过PPTP进行连接,然后在此基础上做进一步的配置。   下面是本次实验的简易...
IPSec环境搭建与分析
GOOD__YOUTH的博客
10-11 1331
测试调试 网络拓扑 路由器配置为: 设置ipsec信息为: 隧道模式,配置远端路由网关192.168.151.73 即路由器2 IP 配置本地网端,与远端网段,设置ike协商 采用ESP中的封装安全荷载协议中的DES加密协议 完整性检测采用SHA1协议 配置密钥信息. 路由器1设置为初始者模式,路由器2设置为响应者模式,,通过抓包发现当设置为初始者模式时,路由器主动向对端建立ike协商,响应者模式则为被动状态等待ike连接请求。 测试可以PING通远端网段. 报文解析 主动模式 建立IKEV1协商
IPSEC建立过程(简)
kuaizai__的博客
09-25 6154
IPSEC建立过程 文章目录IPSEC建立过程阶段一:阶段一支持两种协商模式:主模式:野蛮模式:阶段二快速模式共有3条消息完成双方IPSec SA的建立。主模式和野蛮模式的区别主模式包含三次双向交换,用到了六条信息。野蛮模式只用到三条信息 阶段一: 目的是建立IKE SA (ISAKMP SA) 建立后对等体间所有的IKE消息都将通过加密和验证 阶段一支持两种协商模式: 主模式: 三个交换步骤: 协商对等体之间使用IKE安全提议 1/2数据
华为ipsec ***搭建
caomiecu7437的博客
07-18 434
拓扑图: AR1的配置:<AR1>dis current-configuration [V200R003C00]#sysname AR1#snmp-agent local-engineid 800007DB03000000000000snmp-agent #clock timezone China-Standard-Time minus 08:00:00#portal local-s...
IPSec简单实验-手工建立
weixin_43421779的博客
07-31 280
ensp
ipsec服务器如何搭建
02-03
IPsec(Internet Protocol Security)是一种网络安全协议,用于在IP网络上提供数据的加密、认证和完整性保护。搭建IPsec服务器可以实现安全的远程访问和通信。 要搭建IPsec服务器,可以按照以下步骤进行操作: 1. 选择合适的操作系统:IPsec服务器可以在多种操作系统上搭建,如Linux、Windows等。选择一个适合你的需求和熟悉程度的操作系统。 2. 安装IPsec软件:根据所选操作系统的要求,安装相应的IPsec软件。常用的IPsec实现包括StrongSwan、OpenSwan、Libreswan等。 3. 配置IPsec服务器:根据具体的软件和操作系统,进行IPsec服务器的配置。配置包括设置加密算法、认证方式、密钥交换协议等参数。 4. 配置防火墙规则:为了确保IPsec服务器正常工作,需要配置防火墙规则以允许IPsec流量通过。具体的配置方法取决于所使用的防火墙软件和操作系统。 5. 配置客户端连接:为了让客户端能够连接到IPsec服务器,需要在客户端上配置相应的IPsec连接设置。这包括设置服务器地址、认证方式、预共享密钥等。 6. 测试连接:完成服务器和客户端的配置后,可以进行连接测试。确保客户端能够成功连接到IPsec服务器,并且数据传输是安全的。 请注意,IPsec服务器的搭建涉及到网络安全和系统配置等方面的知识,建议在搭建之前充分了解相关知识或者寻求专业人士的帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值