Openswan 之 NAT穿越分析

最新推荐文章于 2020-10-20 15:15:51 发布
最新推荐文章于 2020-10-20 15:15:51 发布
阅读量2.6k 收藏 1
点赞数
分类专栏: IPSec 文章标签: traversal struct wrapper hook 代码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sahusoft/article/details/6452229
版权

IPsec与NAT之间的冲突缘由

NAT服务器对内网来的数据包,需要修改其源地址和源端口为服务器自身的地址和端口(或者其他NAT方式),然后才将其进行转发。这种修改破坏了IPsec数据的完整性,导致接收方验证失败;另外,对于ESP封装的数据包,端口信息已经被加密,NAT服务器无法获得,使得NAT转换无法进行下去。这就是IPsec和NAT之间的冲突。

最常见的解决这种冲突的办法,就是UDP封装,即在IPsec协议数据包外包裹一层UDP头,这样NAT修改的东西就仅仅局限于UDP头内部了,不会损伤IPsec数据。

openswan对NAT穿越的支持就是采用UDP封装:
数据发送过程,依据策略SP决定是否需要进行穿越处理;
数据接收过程,则是对内核打补丁,对udp处理过程挂钩HOOK点。
以下是简要分析。

NAT-T发包分析
IPsec的NAT穿越秘诀在于用UDP包裹ESP、AH协议包;所以openswan必须要在安全封装之前获取端口等必要的信息,不然当进行ESP封装之后,端口信息将不可得。

openswan在ipsec_xmit_encap_bundle_2中,在调用ipsec_xmit_encap_once之前获取这些信息并保存到ixs发送描述符中:
if ((ixs->ipsp->ips_natt_type) && (!ixs->natt_type)) {如果在策略中启用了NAT-T
                     ixs->natt_type = ixs->ipsp->ips_natt_type;
                     ixs->natt_sport = ixs->ipsp->ips_natt_sport;
                     ixs->natt_dport = ixs->ipsp->ips_natt_dport;
                     switch (ixs->natt_type) {
                            case ESPINUDP_WITH_NON_IKE:
                                   ixs->natt_head = sizeof(struct udphdr)+(2*sizeof(__u32));
                                   break;
                                   
                            case ESPINUDP_WITH_NON_ESP:
                                   ixs->natt_head = sizeof(struct udphdr);
                                   break;
                                   
                            default:
                              KLIPS_PRINT(debug_tunnel & DB_TN_CROUT
                                         , "klips_xmit: invalid nat-t type %d"
                                         , ixs->natt_type);
                              bundle_stat = IPSEC_XMIT_ESPUDP_BADTYPE;
                              goto cleanup;
                                         
                                   break;
                     }
                     ixs->tailroom += ixs->natt_head;
}

此时,用于封装UDP的必要信息已经获得,接下来进行IPsec安全流程处理(略);而最终UDP封装是在虚拟网卡xmit函数的末尾进行的:
int ipsec_tunnel_start_xmit(struct sk_buff *skb, struct net_device *dev){
       struct ipsec_xmit_state *ixs = NULL;   
       ixs = ipsec_xmit_state_new ();      ixs->dev = dev;      ixs->skb = skb;
       stat = ipsec_xmit_sanity_check_dev(ixs); //检查dev,并从中取值填充ixs
       stat = ipsec_xmit_sanity_check_skb(ixs); //检查skb,并从中取值填充ixs
       stat = ipsec_tunnel_strip_hard_header(ixs); //获取数据包的硬件头长度
      
       stat = ipsec_tunnel_SAlookup(ixs);  //查找相对应的SA,参考下文SADB章节
                                                          //其实就是填充 ixs->outgoing_said
       stat = ipsec_xmit_encap_bundle(ixs); //根据SA和策略等进行处理
       stat = ipsec_nat_encap(ixs); //处理一下NAT-T(将ESP数据包用UDP进行包裹)
stat = ipsec_tunnel_restore_hard_header(ixs); //恢复硬件头
stat = ipsec_tunnel_send(ixs); //替换发送物理设备,查找新路由,将封包发出
                                          //ip_route_output,ip_send
ipsec_xmit_cleanup(ixs);       //清理skb等占用的内存
ipsec_xmit_state_delete (ixs); //回归缓存池
}

ipsec_nat_encap内部先判断策略是否启用了NAT-T,没启用的话则什么也不做直接返回成功;如果启用了,则进行UDP封装。封装过程比较简单,就是从IP头往下,将ESP协议数据整体下移,留出UDP头部大小的空间,将UDP头信息填入,修改IP头部的协议字段为IPPROTO_UDP,并重新计算IP头部校验和等。
(为啥不将IP头上移,这样拷贝数据能少很多,who knows?)


Openswan中NAT-T补丁代码分析(收包分析)

在KLIPS初始化函数中,向UDP内核代码中挂入一个HOOK点klips26_rcv_encap,用于处理ESP协议:
int ipsec_klips_init(void){
#if defined(NET_26) && defined(CONFIG_IPSEC_NAT_TRAVERSAL)
       /* register our ESP-UDP handler */
       if(udp4_register_esp_rcvencap(klips26_rcv_encap, &klips_old_encap)!=0) {
          printk(KERN_ERR "KLIPS: can not register klips_rcv_encap function/n");
       }
#endif
}

以下是打在udp.c中的补丁:
static xfrm4_rcv_encap_t xfrm4_rcv_encap_func = NULL; //hook点
int udp4_register_esp_rcvencap(xfrm4_rcv_encap_t func, xfrm4_rcv_encap_t *oldfunc){
        if (oldfunc != NULL)
                *oldfunc = xfrm4_rcv_encap_func;
        xfrm4_rcv_encap_func = func;
        return 0;
}
int udp4_unregister_esp_rcvencap(xfrm4_rcv_encap_t func){
        if (xfrm4_rcv_encap_func != func)
                return -1;
        xfrm4_rcv_encap_func = NULL;
        return 0;
}
最终,HOOK点xfrm4_rcv_encap_func = klips26_rcv_encap。


而在UDP内核代码内部,udp_lib_setsockopt内部,将up->encap_rcv改写:
case UDP_ENCAP_ESPINUDP:
case UDP_ENCAP_ESPINUDP_NON_IKE:
#if defined(CONFIG_XFRM) || defined(CONFIG_IPSEC_NAT_TRAVERSAL)
if (xfrm4_rcv_encap_func)
up->encap_rcv = xfrm4_udp_encap_rcv_wrapper;
else
#endif
up->encap_rcv = xfrm4_udp_encap_rcv;

内核中UDP接收流程如下:
int udp_rcv(struct sk_buff *skb)
à __udp4_lib_rcv(skb, udp_hash, IPPROTO_UDP);
              à udp_queue_rcv_skb(sk, skb);
                     à (*up->encap_rcv)(sk, skb); //有可能是一个封装UDP,需要先解封装
                     à sock_queue_rcv_skb(sk,skb); //非封装UDP了,提交
                            à skb_queue_tail(&sk->sk_receive_queue, skb); //放到sock的接收队列
                            à sk->sk_data_ready(sk, skb_len);                    //向上通知数据准备好了
在udp_queue_rcv_skb中首先检查udp_sock-> encap_type,如果发现是一个封装UDP的话,就会调用up->encap_rcv进行解封装,这就会调用到xfrm4_udp_encap_rcv_wrapper。
xfrm4_udp_encap_rcv_wrapper跟内核原有的xfrm4_udp_encap_rcv基本一样,去掉UDP头部,只是在最后后者调用内核中的ESP引擎ret = xfrm4_rcv_encap(skb, IPPROTO_ESP, 0, encap_type),而前者调用openswan注册的HOOK点函数xfrm4_rcv_encap_func:
iph->protocol = IPPROTO_ESP; /* modify the protocol (it's ESP!) */
ret = (*xfrm4_rcv_encap_func)(skb, encap_type); /* process ESP */

这样,openswan中的ESP钩子klips26_rcv_encap被调用,该函数调用IPsec解包循环ipsec_rcv_decap(irs)。

sahusoft
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ipsec openswan 内核(klips)算法管理分析
04-11
本文章从代码层面分析openswan 内核模块klips的算法管理。文章中重要数据结构和代码逻辑都标有中文注释,能够快速帮助不熟悉的人了解openswan 内核部分的算法管理架构
openswan的Pluto源码分析以及linux的IPsec内核源码分析
11-08
openswan的Pluto源码和linux的IPsec内核源码进行了详细的分析,对于理解openswan的运行机制以及linux的IPsec实现很有帮助
华为L2TP+ipsec野蛮模式,nat穿越 配置实例
08-30
华为L2TP+ipsec野蛮模式,nat穿越 配置实例 。。。。。。。。。。。。。
Linux内核中的IPSEC实现(6)
weixin_34380296的博客
05-14 408
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。msn: [email protected]来源:http://yfydz.cublog.cn 8. 安全协议 与IPSEC相关的安全协议是AH(51)和ESP(50), IPSEC使用这两个协议对普通数据包进行封装, AH只认证不加密, ...
基于openswan的ipsec穿越NAT的探讨
weixin_33979745的博客
05-15 1369
1楼 发表于 2008-12-8 14:02 基于openswan的ipsec穿越NAT的环境搭建搭建过程: 1)制作证书 2)在无NAT的情况下搭建×××环境 3)在2)的基础上搭建有NAT时的×××环境 但是现在我出现的问题是ipsec不能穿越NAT,我按上面的1)2)3)详细记录下来,请各位前辈指导! 谢谢!...
openswan--NAT穿越配置篇
guoyangbill的博客
01-29 2295
为了是openswan支持nat穿越,需要在nat_traversal=yes 配置。对于NETKEY方式,是自动支持的,对于KLIPS,是必须大nat-t补丁的。   keep_alive=option 选项可以保活ipsec conn,这个作用是保证NAT路由器不会删除连接状态。   rightsubnet=vhost:%no,%priv  其中priv表示virtural_private
IPsec与NAT Traversal(NAT-T)
品学楼A107
09-30 2610
背景 IPsec在两个通信实体之间建立安全的数据传输通道, 但它却与网络中广泛存在的NAT设备(以及PAT)有天生的不兼容性(incompatible)。 我们以一个TCP报文为例来看看在不同IPsec的不同模式(Transport和Tunnel)和协议(AH和ESP)下,这种不兼容是如何发生的。 先来看Transport模式 对AH协议,由于其Authenticate范围是整个IP报文,所以...
linux内核协议栈 UDP之数据报接收过程Ⅰ
10-20 2005
1 UDP报文接收概述 UDP数据报的接收要分两部分来看: 网络层接收完数据包后递交给UDP后,UDP的处理过程。该过程UDP需要做的工作就是接收数据包并对其进行校验,校验成功后将其放入接收队列 sk_receive_queue 中等待用户空间程序来读取。 用户空间程序调用read()等系统调用读取已经放入接收队列 sk_receive_queue 中的数据。 2从IP层接收数据包 udp_rcv() 该函数是在AF_INET协议族初始化时,由UDP注册给网络层的回调函数,当网络层代码处理完...
基于openswan klips的IPsec实现分析(十一)NAT穿越
终身学习的程序猿
06-18 4263
基于openswan klips的IPsec VPN实现分析(十一)NAT穿越 转载请注明出处:http://blog.csdn.net/rosetta 本节介绍openswan klips的NAT穿越,应用层IKE协商时的NAT在以后的文章再做介绍。 简介 IPsec和NAT的冲突: NAT服务器对内网来的数据包,需要修改其源地址和源端口为服务器自身的地址和端口,然
openswan pluto性能优化方法
最新发布
02-19
openswan源码中的pluto进程在处理隧道数量比较少时效率问题没有那么突出,而当隧道增加到成千上万条时,它的性能问题显得格外的突出。当添加1万~2万条隧道时,cpu的利用率很高,性能下载很多。本文章从优化pluto中...
openswan-2.6.38
01-08
openswan-2.6.38源码,搬运自openswan.org openswan-2.6.38.tar.gz
openswan-2.4.12
06-24
openswan, openswan-2.4.12, ipsec 官网下载地址 http://ftp.openswan.org/openswan/ http://ftp.openswan.org/openswan/old/openswan-2.4/ /* 无需资源分 */
IP XFRM配置示例:利用linux kernel自带的IPSec实现,手动配置IPSec
热门推荐
王以山的专栏
04-20 1万+
1、拓扑 192.168.18.101 192.168.18.102 2、配置192.168.18.101 ip xfrm state add src 192.168.18.101 dst 192.168.18.102 proto esp spi 0x00000301 mode tunnel auth md5 0x96358c90783bbfa3d7b196ceabe0536b enc
IKE协议(因特网密钥交换协议)
王以山的专栏
10-20 8457
因特网密钥交换协议(IKE)是一份符合因特网协议安全(IPSec)标准的协议。它常用来确保虚拟专用网络VPN(virtual private network)与远端网络或者宿主机进行交流时的安全。对于两个或更多实体间的交流来说,安全协会(SA)扮演者安全警察的作用。每个实体都通过一个密钥表征自己的身份。因特网密钥交换协议(IKE)保证安全协会(SA)内的沟通是安全的。  因特网密钥交换协议(IKE
十分钟配置Openswan
王以山的专栏
05-28 7933
Openswan是什么,做什么用,我这里不想再说,实在不知道的,就google一下了。理论的上知识也请google,这里呢只想按照1、2、4、 5、6、7这种死步骤配置,保证能配通就OK了。因为网上的这类资料也多也全,只不过呢新手看上去有点困难,也不容易配置成功吧。 一、 系统安装。 1、 下载软件 cd /usr/local/src 我喜欢把程序下载到这个目录。 wget http
XFRM Programming
王以山的专栏
04-19 7383
Linux IPsec overview IPsec is a group of protocols used on top of IP for the purpose of authentication, encryption and secure exchange of encryption keys. These three activities correspond to three d
Openswan系列教程1:安装并尝试
王以山的专栏
01-08 5101
<!-- @page {margin:2cm} h2 {margin-bottom:0.21cm} h2.western {font-family:"Liberation Sans",sans-serif; font-size:14pt; font-style:italic} h2.cjk {font-family:"Droid Sans Fallback";
IPSec基础-密钥交换和密钥保护Internet密钥交换(IKE)
王以山的专栏
10-20 4217
Internet密钥交换(IKE) 两台IPSec计算机在交换数据之前,必须首先建立某种约定,这种约定,称为"安全关联",指双方需要就如何保护信息、交换信息等公用的安全设置达成一致,更重要的是,必须有一种方法,使那两台计算机安全地交换一套密钥,以便在它们的连接中使用。见图七。 图七、Internet密钥交换 Internet 工程任务组IETF制定的安全关联标准法和密钥交换解
openswan实现多站点互通
03-25
A:要使用OpenSWAN实现多站点互通,需要进行以下步骤: 1.配置OpenSWAN网络 首先,需要在每个站点上安装和配置OpenSWAN。在每个站点上设置网络IP地址,用于区分不同站点的IP地址。确保每个站点的OpenSWAN版本相同,并且在所有站点都启用了IPsec支持。 2.创建隧道 接下来,需要在每个站点上创建一个隧道。在OpenSWAN中,隧道是指加密通道,用于将源和目标站点之间的流量进行加密。在每个站点上使用相同的加密协议配置隧道。应使用相同的加密算法,密钥长度和身份验证方法来设置加密通道。 3.配置路由 然后,需要配置每个站点的路由,使流量能够正确地传递到正确的站点。在每个站点上,需要配置一个默认路由,以便将所有未知的目标流量发送到隧道中。此外,还需要在每个站点上配置其他站点的IP地址作为路由项。 4.测试连接 完成配置后,需要测试站点之间的连接是否可用。可以使用ping命令测试站点之间的连接,以确保流量可以正确地传递到目标站点。如果连接不正常,则需要检查配置,并尝试重新配置路由和隧道。 总的来说,OpenSWAN可以实现多站点之间的加密通信和数据传输,但是需要一些配置和测试才能确保正常运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值