基于Strongswan的IPSec部署

已于 2023-11-29 11:03:18 修改
阅读量1.3w 收藏 55
点赞数 6
文章标签: 服务器 php 运维
于 2020-07-30 16:48:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rainforest_c/article/details/71171237
版权

1. 简介

​ IPSec全称Internet Protocol Security,是通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议集,IPSec的主要用途之一就是建立虚拟专用网络。

2. strongswan

​ strongswan是基于IPSec的虚拟专用网络解决方案,它是一款开源软件,支持Linux 2.6和3.x的内核,IKEv1和IKEv2的密钥管理协议,以及各种认证方式、校验、加密算法。

​ strongswan官网有大量的测试案例:https://www.strongswan.org/testresults.html。

​ 下文将介绍如何部署基于strongswan的IPSec虚拟专用网络。

3. 配置文件

​ strongswan主要的配置文件有3个:/etc/ipsec.conf,/etc/strongswan.conf,/etc/ipsec.secrets

3.1 ipsec.conf

config setup

conn %default
	ikelifetime=60m				// IPSec SA协商间隔
	keylife=20m					// ISAKMP SA协商间隔
	rekeymargin=3m				// 密钥更新间隔
	keyingtries=1				// ISAKMP SA协商次数
	keyexchange=ikev1			// IKE模式
	ike=3des-md5-modp1024		// IKE算法
	esp=3des-md5-modp1024		// esp算法
	authby=secret				// 认证方式

conn s2s
	left=10.0.0.10				// 本机IP
	leftsubnet=192.168.1.0/24	// 本机内网
	leftid=@delta				// 本机标识
	right=10.0.0.20				// 对端IP
	rightsubnet=192.168.2.0/24	// 对端内网
	rightid=@cisco				// 对端标识
	auto=add					// 连接方式

​ 上述是一个ipsec.conf配置案例,conn 表示一个策略,其中conn %default表示全局默认策略。

参数说明
ikelifetimeIPSec SA协商间隔
keylifeISAKMP SA协商间隔
rekeymargin密钥更新间隔
keyingtriesISAKMP SA协商次数
keyexchangeIKE模式,可选"ikev1,ikev2"
ikeIKE算法,分3个部分组成,用"-"连接,第一部分加密算法:3des,aes128,aes192,aes256,第二部分认证算法:md5,sha1,sha256,第三部分DH算法:modp1024,modp1536
espesp算法,分3个部分组成,用"-"连接,第一部分加密算法:3des,aes128,aes192,aes256,第二部分认证算法:md5,sha1,sha256,第三部分DH算法:modp1024,modp1536
authby认证方式,可选"secret,pubkey,psk,rsasig,xauthpsk,xauthrsasig,never"
left本机IP
leftsubnet本机内网,该网段会走专用网络通道
leftid本机标识
right对端IP,
rightsubnet对端内网,该网段会走专用网络通道
rightid对端标识
auto连接方式,可选"add,route,start,ignore","add"表示手动,"route"表示由连接触发,"start"表示自启,"ignore"表示忽略该策略
left|rightauth指定left,right认证方式,可选"pubkey,psk,eap,xauth",相当于细分authby
left|rightauth2指定left,right附加认证方式,可选"xauth" (IKev1)
left|rightcert指定left,right证书,证书存放路径"/etc/ipsec.d/certs"
dpdactiondpd(对端失效检测)动作,可选"none,clear,hold,restart"
dpddelaydpd检测间隔时间
dpdtimeoutdpd检测超时时间
待补充

​ 上述列举了一些常用的参数,所有参数可以查看 https://wiki.strongswan.org/projects/strongswan/wiki/ConnSection

3.2 strongswan.conf

# strongswan.conf - strongSwan configuration file
#
# Refer to the strongswan.conf(5) manpage for details
#
# Configuration changes should be made in the included files

charon {
        load_modular = yes
        plugins {
                include strongswan.d/charon/*.conf
        }
}
参数说明
charon.i_dont_care_about_security_and_use_aggressive_mode_psk用于aggressive mode + PSK模式
charon.filelog配置log文件
待补充

​ 详询 https://wiki.strongswan.org/projects/strongswan/wiki/StrongswanConf

3.3 ipsec.secrets

# /etc/ipsec.secrets - strongSwan IPsec secrets file

: PSK "12345678"							// 匹配任意策略,其preshared key为12345678

1.1.1.1 2.2.2.2 : PSK "12345678"			// 匹配"left=1.1.1.1 right=2.2.2.2"的策略

cisco : XAUTH "test"						// 匹配id=cisco的策略,该策略xauth secret为test

: RSA "test.pem"							// 匹配authtype为pubkey的任意策略
参数说明
PSK[ ] : PSK
RSA: RSA [ | %prompt ],公钥文件必须在/etc/ipsec.d/private
XAUTH[ ] : XAUTH “”
待补充

​ 详询 https://wiki.strongswan.org/projects/strongswan/wiki/IpsecSecrets

4. IPSec 专用网络通道搭建实例

准备工作:两台安装strongswan的ubuntu电脑,互相可以ping通。

假设这两台电脑分别为ubuntu1(IP:172.17.92.138),ubuntu2(IP:172.17.92.209)。

4.1 ubuntu1配置

/etc/ipsec.conf 配置:

# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup

conn %default
        ikelifetime=60m
        keylife=20m
        rekeymargin=3m
        keyingtries=1
        keyexchange=ikev1
        authby=secret

conn c2c
        left=172.17.92.138
        right=172.17.92.209
        ike=3des-md5-modp1024
        esp=3des-md5-modp1024
        auto=add

/etc/strongswan.conf 配置:

# strongswan.conf - strongSwan configuration file
#
# Refer to the strongswan.conf(5) manpage for details
#
# Configuration changes should be made in the included files

charon {
	load_modular = yes
	plugins {
		include strongswan.d/charon/*.conf
	}
}

/etc/ipsec.secrets 配置:

: PSK "12345678"

4.2 ubuntu2配置

/etc/ipsec.conf 配置:

# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup

conn %default
        ikelifetime=60m
        keylife=20m
        rekeymargin=3m
        keyingtries=1
        keyexchange=ikev1
        authby=secret

conn c2c
        left=172.17.92.209
        right=172.17.92.138
        ike=3des-md5-modp1024
        esp=3des-md5-modp1024
        auto=add

/etc/strongswan.conf 配置:

# strongswan.conf - strongSwan configuration file
#
# Refer to the strongswan.conf(5) manpage for details
#
# Configuration changes should be made in the included files

charon {
	load_modular = yes
	plugins {
		include strongswan.d/charon/*.conf
	}
}

/etc/ipsec.secrets 配置:

: PSK "12345678"

4.3 建立连接

​ 在两台电脑上面运行ipsec restart重新载入配置,然后在任意一台运行ipsec up c2c发起连接,连接成功如下图所示:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-M04iA5aZ-1596098783042)(http://i4.buimg.com/1949/87cabc3129aad83b.png)]

5. 常见问题

待补充

rainforest_c
关注
  • 6
    点赞
  • 55
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
strongSwan - 功能强大的开源IPsec实现
gitblog_00009的博客
03-07 743
strongSwan - 功能强大的开源IPsec实现 简介 strongSwan是一个开源的、免费的IPsec实现,用于在互联网上建立安全的虚拟私人网络(VPNs)。它支持各种加密算法和身份验证方法,并且可以与其他IPsec实现互操作。 用法 strongSwan可用于多种用途: 建立安全的公司内部网络 连接远程办公人员到公司内网 提供安全的移动访问服务 在Internet上提供安全的Web...
Strongswan app 使用IKEv2 EAP 通过 Freeradius EAP认证 连接 Strongswan
taylorgogo
06-11 4718
索引环境安装链接Ubuntu 安装 Strongswan配置 Strongswang配置 Freeradius配置Strongswan VPN APPDebug应用 环境 @Linux uname -a Linux szqsm 4.15.0-73-generic #82-Ubuntu SMP Tue Dec 3 00:04:14 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux @Strongswan ipsec --version Linux strongSwan U5
openwrt中搭建strongswan服务器vpn支持ipsec ikev2
初学者的专栏
10-31 6393
请注意,这只是一个基本的配置示例,你可能还需要根据你的网络环境和需求进行一些额外的配置调整。强烈建议在实际部署之前阅读StrongSwan和OpenWrt的官方文档以获取更多信息和指导。编辑StrongSwanIPsec预共享密钥配置文件。OpenWrt上StrongSwan VPN服务器的安装和配置。编辑StrongSwanIPsec连接配置文件。编辑StrongSwan的主配置文件。打开终端或SSH连接到你的OpenWrt路由器。
推荐开源项目:Libreswan - 灵活强大的IPSec实现
最新发布
gitblog_00055的博客
05-09 490
推荐开源项目:Libreswan - 灵活强大的IPSec实现 项目地址:https://gitcode.com/libreswan/libreswan 项目介绍 Libreswan是一款专为Linux设计的互联网密钥交换(IKE)实现软件,支持IKEv1和IKEv2协议,并兼容多种扩展功能,如X.509数字证书、NAT穿透等。它利用了Linux原生的XFRM IPsec堆栈。这款项目源自Open...
strongswan教程
Jecci
02-20 1379
4.配置服务器 B:在服务器 B 上,执行与服务器 A 相同的步骤,但是需要将 `left` 和 `right` 的值交换。例如,在 `/etc/ipsec.conf` 文件中。5.配置服务器 C:在服务器 B 上,执行与服务器 A 相同的步骤,但是需要将 `left` 和 `right` 的值交换。例如,在 `/etc/ipsec.conf` 文件中。在B上可以ping通A,但是不通C的私网。在C上可以ping通A,但是不通B的私网。在A上可以ping通,B和C的私网。A与B的2个私网网段相互通信,
strongswan介绍
wq897387的专栏
03-12 2万+
strongswan介绍文档翻译
五、IPSec开源项目strongSwan
小脑斧的博客
08-15 8233
strongSwan是一套完整的IPsec开源实现方案,用来提供服务端和客户端之间的加密和认证。
strongSwan:软件安装简介
hhd1988的专栏
05-18 7786
在ubuntu20.04上 ,strongSwan安装有两种途径: 1、下载源码编译安装 2、图形界面安装
strongSwan报文交互过程
衡水铁头哥的博客
07-28 1613
Connections可以理解为对等体信息,其中前3行是IKE对等体信息,有本端和对端的身份标识以及认证方式;最后一行child就是IPsec连接,模式为TUNNEL隧道模式,因为IPsec SA是基于IKE SA创建的,所以用child来表示也是比较合理的。...
centos7搭建基于strongswan ipsec的 l2tp服务器
08-22
centos7下搭建ipsec l2tp服务器,使用strongswan来构建ipsec.
基于linux的ipsec之路.pptx
03-03
本文将详细介绍基于 Linux 的 IPSEC 之路,包括 Tunnel 概念、Linux Tunnel 模式、IPSEC 协议、StrongSwan 等相关知识点。 Tunnel 概念 Tunnel 技术可以实现不同办公点之间的数据包传送。Tunnel 的工作原理是将...
strongswan源代码
02-02
strongswan源代码
ipsec源代码
03-06
ipsec源代码的实现,非常流行的strongswan ikev2,lgplliesecs
strongswan5.6.3
07-03
基于IPSec协议的源代码的实现,如果想好好学习了解IPsec的原理,strongswan是个很好的选择
TCR2000基于联通专线环境下配置IPsec
03-31
介绍了关于TCR2000基于联通专线环境下配置IPsec的详细说明,提供计算机的技术资料的下载。
部署GRE over IPSec.pdf
11-10
"GRE over IPSec 部署指南" GRE(Generic Routing Encapsulation)是一种通用的路由封装协议,用于在不同的网络之间传输数据包。IPSec(Internet Protocol Security)是一种安全框架,用于保护数据包在传输过程中的...
使用StrongSwan配置IPSec
热门推荐
Xiaowo
03-22 5万+
使用StrongSwanIPSec进行研究,是一种很好的理解IPSec的实践。然而StrongSwan在使用的过程中实在是有太多的坑,网上的教程也多有不完整的地方,几乎没有能彻彻底底说明白每一步的,导致我在使用StrongSwan的过程中各种抓耳挠腮。程序员自然要造福程序员,在这里特将StrongSwan使用中所遇到的完整步骤记录下来,希望有所帮助。准备工作准备工作可不是简单地装个StrongSw
strongswan常用命令解析(二)
jkwanga的博客
11-11 2919
strongswan常用命令解析 0 > ipsec reload //重新加载 ipsec.conf文件 1 > ipsec rereadsecrets //重新加载ipsec.secrets 2 > swanctl --reload-settings //重新加载strongswan.conf 3 > ipsec rereadcacerts //重新加载ca证书 4 > ipsec restart/start/stop //进程控制
strongswan简单介绍
kernelfish的专栏
04-13 9897
    strongswan是linux平台下的一款ipsec开源工具,和openswan一样都是基于freeswan项目。不过strongswan更侧重于ikev2协议的实现。ikev2(RFC 4306)是ike的第二个版本,它在安全性和功能上都有很大的增强,简化了协议。   strongswan绝大部分代码是用c实现的,支持klips和netkey两种ipsec方式。在ikev2协议中使
strongswan部署IPSec教程
03-31
前置条件: - Ubuntu 16.04 LTS - 两台虚拟机 步骤1:安装strongswan 在两台虚拟机上都执行以下命令安装strongswan: ``` sudo apt-get update sudo apt-get install strongswan ``` 步骤2:配置IPSec 在虚拟机1上编辑/etc/ipsec.conf文件,添加以下内容: ``` conn vpn left=192.168.1.1 # 虚拟机1的IP地址 leftsubnet=192.168.0.0/16 # 虚拟机1的子网 leftid=@vpnserver # 虚拟机1的标识 right=192.168.2.1 # 虚拟机2的IP地址 rightsubnet=192.168.0.0/16 # 虚拟机2的子网 rightid=@vpnclient # 虚拟机2的标识 auto=start ``` 在虚拟机2上编辑/etc/ipsec.conf文件,添加以下内容: ``` conn vpn left=192.168.2.1 # 虚拟机2的IP地址 leftsubnet=192.168.0.0/16 # 虚拟机2的子网 leftid=@vpnclient # 虚拟机2的标识 right=192.168.1.1 # 虚拟机1的IP地址 rightsubnet=192.168.0.0/16 # 虚拟机1的子网 rightid=@vpnserver # 虚拟机1的标识 auto=start ``` 步骤3:配置证书 在虚拟机1上执行以下命令生成证书: ``` sudo ipsec pki --gen --type rsa --size 4096 --outform pem > vpnserver.key.pem sudo ipsec pki --self --ca --lifetime 3650 --in vpnserver.key.pem --type rsa --dn "CN=VPN Server" --outform pem > vpnserver.cert.pem sudo ipsec pki --gen --type rsa --size 4096 --outform pem > vpnclient.key.pem sudo ipsec pki --pub --in vpnclient.key.pem --type rsa | sudo tee vpnclient.pub.pem ``` 在虚拟机2上执行以下命令生成证书: ``` sudo ipsec pki --gen --type rsa --size 4096 --outform pem > vpnclient.key.pem sudo ipsec pki --self --ca --lifetime 3650 --in vpnclient.key.pem --type rsa --dn "CN=VPN Client" --outform pem > vpnclient.cert.pem sudo ipsec pki --gen --type rsa --size 4096 --outform pem > vpnserver.key.pem sudo ipsec pki --pub --in vpnserver.key.pem --type rsa | sudo tee vpnserver.pub.pem ``` 将虚拟机1生成的证书文件vpnserver.cert.pem和vpnserver.key.pem复制到虚拟机2上,将虚拟机2生成的证书文件vpnclient.cert.pem和vpnclient.key.pem复制到虚拟机1上。 步骤4:配置IPSec密钥 在虚拟机1上执行以下命令生成IPSec密钥: ``` sudo ipsec pki --issue --lifetime 3650 --cacert vpnclient.cert.pem --cakey vpnclient.key.pem --in vpnserver.pub.pem --dn "CN=VPN Server" --san vpnserver --flag serverAuth --outform pem > vpnserver.cert.pem ``` 在虚拟机2上执行以下命令生成IPSec密钥: ``` sudo ipsec pki --issue --lifetime 3650 --cacert vpnserver.cert.pem --cakey vpnserver.key.pem --in vpnclient.pub.pem --dn "CN=VPN Client" --san vpnclient --flag serverAuth --outform pem > vpnclient.cert.pem ``` 将虚拟机1生成的IPSec密钥文件vpnserver.cert.pem和vpnclient.cert.pem复制到虚拟机2上,将虚拟机2生成的IPSec密钥文件vpnclient.cert.pem和vpnserver.cert.pem复制到虚拟机1上。 步骤5:重启strongswan 在虚拟机1和虚拟机2上都执行以下命令重启strongswan: ``` sudo systemctl restart strongswan ``` 步骤6:测试IPSec 在虚拟机1上执行以下命令测试IPSec: ``` ping 192.168.2.1 ``` 在虚拟机2上执行以下命令测试IPSec: ``` ping 192.168.1.1 ``` 如果ping通,说明IPSec部署成功。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值