Debian 配置IPSec VPN

最新推荐文章于 2024-07-14 22:39:25 发布
最新推荐文章于 2024-07-14 22:39:25 发布
阅读量931 收藏 12
点赞数 15
分类专栏: Debian 10 文章标签: debian 运维 信息与通信
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54100121/article/details/137450215
版权

strongswan简介

StrongSwan是一个开源的IPsec实现,它提供了安全的虚拟私有网络(VPN)解决方案。IPsec(Internet Protocol Security)是一种网络协议套件,用于在Internet上提供安全的IP通信。StrongSwan实现了IPsec的核心协议,包括身份验证、密钥交换、加密和数据完整性保护等功能。
StrongSwan的主要特点包括:
    1、安全性:StrongSwan使用强大的加密算法和安全协议来保护通信数据的机密性和完整性。它支持各种加密算法,如AES、3DES和SHA等,以及各种身份验证方法,如证书、预共享密钥和用户名/密码等。
    2、灵活性:StrongSwan可以在各种操作系统和平台上运行,包括Linux、Unix、Windows和Android等。它支持多种IPsec部署模式,如站点到站点(Site-to-Site)VPN、远程访问(Remote Access)VPN和公共WiFi安全接入等。
    3、可扩展性:StrongSwan具有高度可扩展性,可以支持大规模的VPN部署。它支持动态路由协议,如OSPF和BGP,以便在大型网络中实现自动路由选择。
    4、开源和免费:StrongSwan是一个开源项目,遵循GNU通用公共许可证(GPL)的条款。这意味着用户可以自由地使用、修改和分发StrongSwan的源代码,而不需要支付任何费用。
通过配置和管理StrongSwan,用户可以建立安全的VPN连接,实现远程访问、分支机构互连和跨网络通信等应用场景。它被广泛应用于企业网络和个人用户之间的安全通信,为数据传输提供了可靠的保护。

实验拓扑图

image-20240111104546180

实验思路

    武汉公司在阿里云拥有一个专有网络VPC(Virtual Private Cloud),bj-VPC网段为192.168.20.0/24,VPC中使用云服务器ECS(Elastic Compute Service)部署了应用服务。同时该公司在本地拥有一个数据中心IDC(Internet Data Center),本地IDC网段为192.168.10.0/24。公司因业务发展,需要本地IDC与云上VPC互通,实现资源互访。该公司计划使用VPN网关产品,在本地IDC与云上VPC之间建立IPsec-VPN连接,实现云上和云下的互通

实验环境

两台Debian 12最小化系统
wh-router有两张网卡,一张网卡是内网网卡(192.168.10.1/24),一张网卡是公网网卡(10.1.1.1/24),其实这里是内网网段的,服务器有限,如果有内网客户端可以在这个配置IPSec VPN上面开启路由转发,然后两边客户端也可以访问
bj-router有两张网卡,一张网卡是内网网卡(192.168.20.1/24),一张网卡是公网网卡(10.1.1.2/24)

wh-router配置

ip a                       #查看IP地址

image-20240111111516361

安装strongswan

apt install strongswan -y                 #安装strongswan服务

编辑ipsec主配置文件

vim /etc/ipsec.conf
conn %default                         #配置ike默认参数
    ikelifetime=1440m                 #ike协议的SA生命周期
    keylife=60m                       #IPSec连接的密钥生命周期为60分钟
    rekeymargin=3m                    #3分钟过后密钥生命周期结束后重新生成密钥
    keyingtries=0                     #密钥交换期间允许最大的重试次数为0次
    keyexchange=ikev1                 #IPSec连接使用IKE协议的版本
    authby=secret                     #使用预共享密钥认证方式
    
    conn ipsecvpn                     #创建ipsecvpn
    left=10.1.1.1                     #本地网关设备的公网IP地址,如果使用本地网关的私网IP地址建立IPSec-VPN连接,则本项需配置为本地网关设备的私网IP地址
    leftid=10.1.1.1                   #本地网关设备的标识
    leftsubnet=192.168.10.0/24        #本地设备的内网网段
    right=10.1.1.2                    #远端设备的出口网关的公网IP地址
    rightsubnet=192.168.20.0/24       #远端设备的内网网段
    auto=start                        #主模式
    type=tunnel                       #隧道模式
    ike=3des-md5-modp1024             #IKE使用3des-md5-modp1024加密套件
    esp=3des-md5                      #esp使用3des-md5加密套件

image-20240111111914536

配置IPSec预共享密钥

vim /etc/ipsec.secrets

image-20240111113222928

将strongswan服务加入到开机自启中

systemctl enable strongswan-starter             #将strongswan-starter服务加入到开机自启中
systemctl restart strongswan-starter            #重启strongswan-starter服务
systemctl status strongswan-starter             #查看strongswan-starter服务启动状态

image-20240111113922149

重启ipsec

ipsec reload

image-20240111114202422

重新启动ipsec

ipsec restart

image-20240111114248181

启动ipsec

ipsec up ipsecvpn                       #这里暂时未启动,因为另一边没有配置

image-20240111114517873

bj-router配置

安装strongswan

apt install strongswan -y         #安装strongswan服务

编辑ipsec主配置文件

vim /etc/ipsec.conf
conn %default                      #配置ike默认参数
    ikelifetime=1440m              #ike协议的SA生命周期
    keylife=60m                    #IPSec连接的密钥生命周期为60分钟
    rekeymargin=3m                 #3分钟过后密钥生命周期结束后重新生成密钥
    keyingtries=0                  #密钥交换期间允许最大的重试次数为0次
    keyexchange=ikev1              #IPSec连接使用IKE协议的版本
    authby=secret                  #使用预共享密钥认证方式
    
    conn ipsecvpn                  #创建ipsecvpn
    left=10.1.1.2                  #本地网关设备的公网IP地址,如果使用本地网关的私网IP地址建立IPSec-VPN连接,则本项需配置为本地网关设备的私网IP地址
    leftid=10.1.1.2                #本地网关设备的标识
    leftsubnet=192.168.20.0/24     #本地设备的内网网段
    right=10.1.1.1                 #远端设备的出口网关的公网IP地址
    rightsubnet=192.168.10.0/24    #远端设备的内网网段
    auto=start                     #主模式
    type=tunnel                    #隧道模式
    ike=3des-md5-modp1024          #IKE使用3des-md5-modp1024加密套件
    esp=3des-md5                   #esp使用3des-md5加密套件

image-20240111124300263

配置IPSec预共享密钥

vim /etc/ipsec.secrets

image-20240111124355090

将strongswan服务加入到开机自启中

systemctl enable strongswan-starter              #将strongswan-starter服务加入到开机自启中
systemctl restart strongswan-starter             #重启strongswan-starter服务
systemctl status strongswan-starter              #查看strongswan-starter服务启动状态

image-20240111124435695

重启ipsec

ipsec reload

image-20240111124452866

重新启动ipsec

ipsec restart

image-20240111124511410

启动ipsec

ipsec up ipsecvpn                           #启动成功

image-20240111124535530

wh-router如果一直运行ipsec up ipsecvpn这个命令,就会一直检测对端是否启动ipsec,如果启动,它们自己连接成功

image-20240111124654174

验证

wh-router查看ipsec状态

ipsec statusall

image-20240111124838784

bj-router查看ipsec状态

ipsec statusall

image-20240111125252956

wh-router ping bj-router

ip a                                   #查看公网是哪一张网卡
ping -I ens36 192.168.20.1             #使用外网网卡ping对端地址或者直接使用ping 192.168.20.1,这里不需要开启转发

image-20240111125516873

bj-router ping bj-router

ip a                       #查看公网是哪一张网卡 
ping -I ens36 192.168.10.1 #使用外网网卡ping对端地址或者直接使用ping 192.168.10.1,这里不需要开启转发

嘻嘻哥哥~
关注
  • 15
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Debian10搭建open虚拟专用网
笨笨的博客
04-26 2275
需求 安装Openvpn服务; Client的客户端可以通过VPN拨号连接到SERVER03; VPN客户端拨号使用命令systemctl start openvpn@SERVER03; openvpn简介 虚拟专用网(VPN)是用于向专用和公用网络添加安全性和隐私的协议。 VPN通过加密隧道在网络上两个或多个设备之间发送流量。建立VPN连接后,所有网络流量都会在客户端进行加密。 VPN会屏蔽IP地址,因此几乎无法跟踪在线操作。 它提供加密和匿名性,保护在线活动,在线购物,发送电子邮件,还有助于
debian上使用pptp-linux连接pptp服务器
lovec的专栏
10-17 1824
   在window下可以很轻松的使用vpn拨号连接,那是因为window xp等已经内置了pptp协议而且内置了客户端,可在linux下,却是没有那么轻松,因为linux下的pptp客户端:pptp-linux有些限制和要求的,以下就我一整天折腾的过程或者算是些许经验在此分享。 首先要去pptp-linux的官方网站去溜达一下,以好补充一下基本知识,这点需要注意的是pptp 客户端要求...
Debian Ipsec VPN配置
skills6066的博客
11-12 1477
Debian ipsec 点对点隧道
Strongswan使用过程中的坑
最新发布
向Stack Overflow的大牛学习,编写文章尽量详细。
07-14 1073
本文对使用strongswan搭建ipsec vpn环境时的容易遇到的问题进行了详细说明,对于初次使用strongswan的用户应该有所帮助。
Debian系统安装OpenVPN
jast
12-13 2372
下载文件地址:https://github.com/OpenVPN/easy-rsa/releases/download/v3.1.2/EasyRSA-3.1.2.tgz。安装过程中需要下载github上的代码,如果网络不通则需要设置可以访问github的代理,也可以直接下载好将文件放到。openvpn客户端指定网段走本地流量:https://blog.eyyyye.com/article/63。Debian 搭建 OpenVPN 服务器:https://mrwu.red/web/4060.html。
推荐开源项目:Libreswan - 灵活强大的IPSec实现
gitblog_00055的博客
05-09 636
推荐开源项目:Libreswan - 灵活强大的IPSec实现 项目地址:https://gitcode.com/libreswan/libreswan 项目介绍 Libreswan是一款专为Linux设计的互联网密钥交换(IKE)实现软件,支持IKEv1和IKEv2协议,并兼容多种扩展功能,如X.509数字证书、NAT穿透等。它利用了Linux原生的XFRM IPsec堆栈。这款项目源自Open...
五、IPSec开源项目strongSwan
小脑斧的博客
08-15 8475
strongSwan是一套完整的IPsec开源实现方案,用来提供服务端和客户端之间的加密和认证。
debian配置DFS服务配置
04-24
### Debian 配置 DFS(Distributed File System)服务详解 #### 一、DFS服务概述 DFS,即分布式文件系统(Distributed File System),是一种文件系统,它允许用户通过网络访问存储在远程计算机上的文件,如同这些...
debian配置FTP服务
04-24
### Debian配置FTP服务详解 #### 一、FTP服务器概述 FTP服务器(File Transfer Protocol Server)是在互联网上提供文件存储和访问服务的计算机,它们遵循FTP协议提供服务。FTP协议是一种用于在网络上进行文件传输的...
Debian中PostgreSQL数据库安装配置实例
09-10
Debian操作系统中安装配置PostgreSQL数据库是一个详细的实践指南,为那些希望从MySQL数据库转向PostgreSQL数据库的用户提供了步骤和命令。PostgreSQL是一个对象-关系数据库管理系统,以网络为中心的设计为其带来良好...
Debian与CentOS系统配置对比
11-03
Debian与CentOS系统配置对比
Debian系统下配置LNMP的教程
10-23
下面将详细介绍在Debian配置LNMP的步骤。 首先,我们需要安装MySQL数据库。执行`apt-get install -y mysql-server mysql-client`命令来安装MySQL服务器和客户端。在安装过程中,系统会提示设置root用户的密码,...
linux安装VPN server之PPTP VPN
小丑鱼的专栏
10-09 1万+
最近由于工作原因,搞了各种版本的VPN,目前我搭建成功的一共有三种:分别为PPTP的VPN,L2TP的VPN,还有一个就是openvpn 本篇博客先介绍PPTP的vpn,接下来我会依次介绍剩下的两种VPN的安装方法与安装环境,本次server的安装环境是raspberry,是基于debian的系统,所有在Ubuntu上面按照这个步骤应该也是可以实现的 好吧,安装步骤开始吧!!! 1、安装pp...
strongswan介绍
热门推荐
wq897387的专栏
03-12 2万+
strongswan介绍文档翻译
strongSwan:软件安装简介
hhd1988的专栏
05-18 9488
在ubuntu20.04上 ,strongSwan安装有两种途径: 1、下载源码编译安装 2、图形界面安装
strongSwan报文交互过程
衡水铁头哥的博客
07-28 1654
Connections可以理解为对等体信息,其中前3行是IKE对等体信息,有本端和对端的身份标识以及认证方式;最后一行child就是IPsec连接,模式为TUNNEL隧道模式,因为IPsec SA是基于IKE SA创建的,所以用child来表示也是比较合理的。...
Strongswan app 使用IKEv2 EAP 通过 Freeradius EAP认证 连接 Strongswan
taylorgogo
06-11 4885
索引环境安装链接Ubuntu 安装 Strongswan配置 Strongswang配置 Freeradius配置Strongswan VPN APPDebug应用 环境 @Linux uname -a Linux szqsm 4.15.0-73-generic #82-Ubuntu SMP Tue Dec 3 00:04:14 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux @Strongswan ipsec --version Linux strongSwan U5
strongSwan - 功能强大的开源IPsec实现
gitblog_00009的博客
03-07 903
strongSwan - 功能强大的开源IPsec实现 简介 strongSwan是一个开源的、免费的IPsec实现,用于在互联网上建立安全的虚拟私人网络(VPNs)。它支持各种加密算法和身份验证方法,并且可以与其他IPsec实现互操作。 用法 strongSwan可用于多种用途: 建立安全的公司内部网络 连接远程办公人员到公司内网 提供安全的移动访问服务 在Internet上提供安全的Web...
strongswan常用命令解析(二)
jkwanga的博客
11-11 3026
strongswan常用命令解析 0 > ipsec reload //重新加载 ipsec.conf文件 1 > ipsec rereadsecrets //重新加载ipsec.secrets 2 > swanctl --reload-settings //重新加载strongswan.conf 3 > ipsec rereadcacerts //重新加载ca证书 4 > ipsec restart/start/stop //进程控制
debian配置nginx
09-30
Debian系统下配置Nginx服务器可以按照以下步骤进行操作: 1. 首先,安装Nginx服务器。可以使用以下命令进行安装: ``` $ sudo apt-get install nginx ``` 2. 安装完成后,Nginx命令所在目录为`/usr/sbin/`,配置文件所在目录为`/etc/nginx/`。你可以在配置文件中进行Nginx服务器的配置和负载均衡等信息的设置。 3. 启动Nginx服务器,可以使用以下命令: ``` $ nginx ``` 4. 停止Nginx服务器有两种方式。可以使用以下命令进行停止: ``` $ nginx -s stop ``` 或者使用以下命令进行停止: ``` $ nginx -s quit ``` 5. 如果需要卸载Nginx服务器,可以使用以下命令进行卸载: ``` $ sudo apt-get remove nginx* ``` 6. 另外,如果需要在Debian系统中下载Nginx的源,可以编辑`/etc/apt/sources.list`文件。例如,在Debian 7.0中,可以添加以下源: ``` deb http://nginx.org/packages/debian/ wheezy nginx deb-src http://nginx.org/packages/debian/ wheezy nginx ``` 其中,Debian版本代号分别为5.0的lenny,6.0的squeeze,7.0的wheezy和8.0的jessie。 7. 如果需要查看Nginx的日志,可以在路径`/var/log/nginx/error.log`中找到。 希望以上信息对你有帮助!如果还有其他问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

嘻嘻哥哥~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值