基于openswan klips的IPsec实现分析(十一)NAT穿越

最新推荐文章于 2024-05-16 19:05:34 发布
最新推荐文章于 2024-05-16 19:05:34 发布
阅读量4.2k 收藏 3
点赞数
分类专栏: openswan源码分析 IPsec实现原理分析 文章标签: ESPinUDP klips nat穿越 Openswan openswan
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rosetta/article/details/8599432
版权

基于openswan klips的IPsec实现分析(十一)NAT穿越

转载请注明出处:http://blog.csdn.net/rosetta

    本节介绍openswan klips的NAT穿越,应用层IKE协商时的NAT在以后的文章再做介绍。

简介

IPsec和NAT的冲突

    NAT服务器对内网来的数据包,需要修改其源地址和源端口为服务器自身的地址和端口,然后才将其进行转发。这种修改破坏了IPsec数据的完整性,导致接收方验证失败;另外,对于ESP封装的数据包,端口信息已经被加密,NAT服务器无法获得,使得NAT转换无法进行下去。这就是IPsec和NAT之间的冲突。

    最常见的解决这种冲突的办法,就是UDP封装,即在IPsec协议数据包外包裹一层UDP头,这样NAT修改的东西就仅仅局限于UDP头内部了,不会损伤IPsec数据。

    openswan对NAT穿越的支持就是采用UDP封装:

    数据发送过程,依据natt_type类型及UDP长度是否已经赋值给natt_head来决定是否需要进行穿越处理;

    数据接收过程,因为接收UDP包是由内核接收处理的,openswanklips的首要工作就是给内核打补丁,在处理UDP包时加入自己的处理函数。

 

控制宏

#define CONFIG_IPSEC_NAT_TRAVERSAL

 

结构体成员

#ifdef CONFIG_IPSEC_NAT_TRAVERSAL

__u8        natt_type;

   __u16       natt_sport;//源端口

   __u16       natt_dport;//目的端口

      int       natt_len;

#endif 

 natt_type 类型:ESPINUDP_WITH_NON_IKE、ESPINUDP_WITH_NON_ESP。

发送过程:

         在数据加密之前首先需要获取端口等必要信息,否则进行ESP加密后就无法获取。需要加密的数据完成加密后,封装UDP信息的操作是在ipsec_tunnel_start_xmit()函数尾部的ipsec_tunnel_restore_hard_header()函数中进行的。

 

int  ipsec_tunnel_start_xmit(structsk_buff *skb, struct net_device *dev)

{

……

stat = ipsec_xmit_encap_bundle(ixs);//加密IP数据包

……

        

         stat=ipsec_tunnel_restore_hard_header(ixs);

         if(stat!= IPSEC_XMIT_OK) {

         }

 

         stat= ipsec_tunnel_send(ixs);//发送数据

 

         return0;

}

 

enum ipsec_xmit_value

ipsec_tunnel_restore_hard_header(structipsec_xmit_state*ixs)

{

         ……

#ifdef CONFIG_IPSEC_NAT_TRAVERSAL

         if(ixs->natt_type && ixs->natt_head) {

                   structiphdr *ipp = ixs->skb->nh.iph;

                   structudphdr *udp;

                   KLIPS_PRINT(debug_tunnel& DB_TN_XMIT,

                                "klips_debug:ipsec_tunnel_start_xmit:"

                                "encapsuling packet into UDP(NAT-Traversal) (%d %d)\n",

                                ixs->natt_type, ixs->natt_head);

                   //以ESP隧道,ICMP数据,3DES_MD5为例。

                   ixs->iphlen= ipp->ihl << 2;//IP首部长度(不太任何选项的首部)。5*4=20Byte

                   ipp->tot_len=  htons(ntohs(ipp->tot_len) +ixs->natt_head); //112B+8B=120B

                   if(skb_tailroom(ixs->skb)< ixs->natt_head) {

                            printk(KERN_WARNING"klips_error:ipsec_tunnel_start_xmit: "

                                     "triedto skb_put %d, %d available. "

                                     "Thisshould never happen, please report.\n",

                                     ixs->natt_head,

                                     skb_tailroom(ixs->skb));

               

最低0.47元/天 解锁文章
sweird
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openswan klips数据加解密过程
终身学习的程序猿
06-15 1610
本文档的Copyleft归rosetta所有,使用GPL发布,可以自由拷贝、转载,转载时请保持文档的完整性。         klips实现IP数据包的安全接受或发送的进程。在内核域中运行,主要负责控制管理SA及密钥,同时处理数据包的加密和解密工作。 数据加密过程:         ipsec_tunnel_start_xmit()                 ->ipsec_
基于openswan klipsIPsec实现分析(五)应用层和内核通信(2)
终身学习的程序猿
06-18 2935
基于openswan klipsIPsec VPN实现分析(五)应用层和内核通信——内核操作 转载请注明出处:http://blog.csdn.net/rosetta 在数据发送一节讲过,加载模块时会执行pfkey_init()初始化与用户层通信的PF_KEY套接字,在这个函数里会把支持的协议和算法加到pfkey_supported_list[]全局数组中,并在soc
openswan--NAT穿越配置篇
guoyangbill的博客
01-29 2323
为了是openswan支持nat穿越,需要在nat_traversal=yes 配置。对于NETKEY方式,是自动支持的,对于KLIPS,是必须大nat-t补丁的。   keep_alive=option 选项可以保活ipsec conn,这个作用是保证NAT路由器不会删除连接状态。   rightsubnet=vhost:%no,%priv  其中priv表示virtural_private
IPSec NAT穿越原理_ipsec配置为什么要配置nat
最新发布
2401_84300128的博客
05-16 471
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
OpenswanNAT穿越分析
王以山的专栏
05-28 2668
IPsecNAT之间的冲突缘由 NAT服务器对内网来的数据包,需要修改其源地址和源端口为服务器自身的地址和端口(或者其他NAT方式),然后才将其进行转发。这种修改破坏了IPsec数据的完整性,导致接收方验证失败;另外,对于ESP封装的数据包,端口信息已经被加密,NAT服务器无法获得,使得NAT转换无法进行下去。这就是IPsecNAT之间的冲突。 最常见的解决这种冲突的办法,就是UD
基于openswan klipsIPsec实现分析(九)加密算法维护
终身学习的程序猿
06-18 3524
基于openswan klipsIPsec VPN实现分析(九)加密算法维护 转载请注明出处:http://blog.csdn.net/rosetta 本节将介绍klips加密算法的维护,并介绍如何增加新加密算法的支持,下一节将讲认证算法维护和增加。 这里说的加密算法是指对称加密算法,是在通信过程中对传送的信息加解密时使用的,比如:AES,3DES,sm4等。
ipsec openswan 内核(klips)算法管理分析
04-11
本文章从代码层面分析openswan 内核模块klips的算法管理。文章中重要数据结构和代码逻辑都标有中文注释,能够快速帮助不熟悉的人了解openswan 内核部分的算法管理架构
openswan的Pluto源码分析以及linux的IPsec内核源码分析
11-08
openswan的Pluto源码和linux的IPsec内核源码进行了详细的分析,对于理解openswan的运行机制以及linux的IPsec实现很有帮助
Linux 内核IPSec(xfrm)协议栈源码分析
06-21
《Linux 内核 IPSec 协议栈源码分析》 1. 前言 在Linux内核中,IPSec(Internet Protocol Security)是一种网络安全协议,用于在IP层提供安全服务,包括加密和完整性保护。它基于XFRM(eXtensible Framework for ...
libreswan算法管理分析
02-19
在libreswan中,klips实现IPSec功能的核心组件之一,主要负责数据包的安全传输以及加密解密等任务。本文将从代码层面出发,详细介绍libreswan(版本3.29)中klips的算法管理部分,包括算法的使用、加解密等内容。 ...
IPSec加密流程学习笔记.pdf
11-30
个人学习ipsec加密过程中整理的学习笔记,供大家参考学习。里面主要说明了ipsec策略匹配、报文封装等核心处理流程,同时对加密中的部分知识点进行解释说明
openswan klips代码分析--(1)初始化流程
u013920085的专栏
01-19 972
Klipsopenswan自带实现IPsec功能的模块,其主要实现数据加解密、安全关联、密钥管理、身份认证等功能,并以.ko模块插入到内核中运行。
基于openswan klipsIPsec实现分析(一)数据发送
终身学习的程序猿
06-18 6702
基于openswan klipsIPsec VPN实现分析之数据发送 转载请注明出处:http://blog.csdn.net/rosetta   Klipsopenswan自带实现IPsec功能的模块,其主要实现数据加解密、安全关联、密钥管理、身份认证等功能,并以.ko模块插入到内核中运行。   Klips对外出数据的处理流程如下:   相关函数调用过程如下:
openswan ipsec使用注意事项总结
bytxl的专栏
03-26 1894
允许外网对内网网段的访问 设置防火墙,用来转发所有对内网主机的访问包: iptables -A FORWARD -j ACCEPT
openswan配置IPSec(tunnel模式,esp封装,rsa认证)
weixin_43190642的博客
12-24 3418
vm1:192.168.182.144 host1:192.168.182.254 9.94.189.225 host2:9.94.189.226 192.168.152.254 vm2:192.168.152.132 环境如图所示,两台物理机充当网关,分别启动一台虚拟机组成局域网。 一、虚拟机启动 使用qume脚本启动,关键信息: -enable-kvm -display none -cpu host -smp 4 -m 4096 -kernel KaTeX .
开源项目推荐:OpenSwan - 强大的Linux IPsec实现
gitblog_00070的博客
05-09 373
开源项目推荐:OpenSwan - 强大的Linux IPsec实现 项目地址:https://gitcode.com/xelerance/Openswan 1、项目介绍 OpenSwan是一款专为Linux设计的IPsec实施项目,它支持大多数与IPsec相关的扩展,包括IKEv2、X.509数字证书、NAT穿透以及许多其他功能。这个项目源自FreeS/WAN 2.04,并集成了一些重要的补丁和...
IPSEC_KLIPSDEBUG(8) - 设置KLIPS调试选项
Rain
07-24 799
IPSEC_KLIPSDEBUG NAME ipsec_klipsdebug - 设置KLIPS调试选项 SYSNOPSIS ipsec klipsdebug     ipsec klipsdebug --set flagname     ipsec klipsdebug --clear flagname    
Ipsec Openswan 26sec等基础知识扫盲
bytxl的专栏
09-09 2878
http://blog.csdn.net/rosetta/article/details/7547308 最近在整理openswan clips,linux netkey等 方面的东西. 理清openswan什么版本支持ipv6,pluto和racoon作用等等知识 . 希望对研究ipsec,vpn方面的朋友有帮助.整理不足之处还请指正. 问题提出:什么是xfrm,racoon
Openswan企业实战之ipsec ***加速ERP系统
weixin_34087301的博客
10-01 273
公司ERP系统是放在IDC机房,租用的别人的云服务器,因云服务器供应商的限制,不能直接拉电路专线,又因服务器数量不够,remoteapp方案也放弃了,只能通过软件×××方案来解决问题,之前搭建了一个open***,使用route模式,但是用户反馈使用效果并不理想,每次反馈ERP系统保存比较慢,其他操作没有问题,想过各种办法去优化Open***,比如去掉认证,使用...
教我用openswan部署IPSec ,详细的介绍每一个配置文件,并解释第一阶段第二阶段的认证加密算法如何配置
03-27
OpenSwan是一个IPSec实现,它允许您建立安全的虚拟专用网络(VPN)连接来保护您的网络通信。在本教程中,我们将介绍如何使用OpenSwan部署IPSec。我们将讨论每个配置文件的详细信息,并解释第一阶段和第二阶段的认证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值