SWAN之ikev2协议any-interface配置测试

最新推荐文章于 2023-12-18 11:14:15 发布
最新推荐文章于 2023-12-18 11:14:15 发布
阅读量484 收藏
点赞数
分类专栏: IPSecurity 文章标签: strongswan
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_20184565/article/details/102845505
版权

本测试主要验证IKEv2守护进程自动选择IPSec安全关联本地地址的功能,其通过在内核的查找路由表获取通往远端IPSec对等体的IP地址,来关联本地源IP地址。主机moon和bob作为initiator设置auto=route,主机alice和sun作为responder设置auto=addd。在moon主机上ping主机alice和sun,同样的在主机bob上ping主机sun,由数据流来触发连接的建立。测试拓扑如下:

在这里插入图片描述

moon主机配置

连接配置文件:ikev2/any-interface/hosts/moon/etc/ipsec.conf,内容如下,在default的连接中将模式设置为transport,注意这里的left=%any,不指定本端的接口IP地址。接下来的连接alice和sun都将auto字段设置为route,这真是本次测试的功能。

config setup

conn %default
        ikelifetime=60m
        keylife=20m
        rekeymargin=3m
        keyingtries=1
        keyexchange=ikev2
        mobike=no
        type=transport
        compress=yes
        dpdaction=hold
        dpddelay=10
        left=%any
        leftcert=moonCert.pem

conn alice
        right=PH_IP_ALICE
        rightid="C=CH, O=strongSwan Project, OU=Sales, CN=alice@strongswan.org"
        auto=route

conn sun
        right=PH_IP_SUN
        rightid="C=CH, O=strongSwan Project, CN=sun.strongswan.org"
        auto=route

bob主机配置

连接配置文件:ikev2/any-interface/hosts/bob/etc/ipsec.conf,内容与以上moon主机的内容基本相同,只是少了一个到alice主机的连接,仅保留到sun主机(eth1接口)的连接,名称同样为sun。

config setup

conn %default
        ikelifetime=60m
        keylife=20m
        rekeymargin=3m
        keyingtries=1
        keyexchange=ikev2
        mobike=no
        type=transport
        compress=yes
        dpdaction=hold
        dpddelay=10
        left=%any
        leftcert=bobCert.pem

conn sun
        right=PH_IP_SUN1
        rightid="C=CH, O=strongSwan Project, CN=sun.strongswan.org"
        auto=route

alice主机配置

连接配置文件:ikev2/any-interface/hosts/alice/etc/ipsec.conf,内容如下。对于名称为remote的连接定义,其left和right字段都设置为%any,一方面要自动选取自身的通信地址,另一方面不限定对端的连接IP地址。字段auto设置为add。sun主机的配置与alice基本相同。

config setup

conn %default
        ikelifetime=60m
        keylife=20m
        rekeymargin=3m
        keyingtries=1
        keyexchange=ikev2
        mobike=no
        type=transport
        compress=yes
        dpdaction=clear
        dpddelay=10
        left=%any
        leftcert=aliceCert.pem

conn remote
        right=%any
        auto=add

测试准备阶段

配置文件:ikev2/any-interface/pretest.dat,内容如下。在预测试pre-test阶段,启动四台参与测试的主机,在作为responder的主句alice和sun等待remote连接建立,在作为initiator的主机moon上确认名称为alice的连接的建立。完成之后,在moon主机上ping主机alice和sun。

最后在bob主机上确认名称为sun的连接的建立,并且在bob上ping主机sun的eth1接口地址。

winnetou::ip route add 10.1.0.0/16 via PH_IP_MOON
winnetou::ip route add 10.2.0.0/16 via PH_IP_SUN
alice::ipsec start
moon::ipsec start
sun::ipsec start
bob::ipsec start
alice::expect-connection remote
sun::expect-connection remote
moon::expect-connection alice
moon::ping -n -c 3 -W 1 -i 0.2 -s 8184 -p deadbeef PH_IP_ALICE
moon::ping -n -c 3 -W 1 -i 0.2 -s 8184 -p deadbeef PH_IP_SUN
bob::expect-connection sun
bob::ping -n -c 3 -W 1 -i 0.2 -s 8184 -p deadbeef PH_IP_SUN1

测试阶段

配置文件:ikev2/any-interface/evaltest.dat,首先在作为initiator的主机moon和bob上检查acquire job的日志,由于在moon和bob上发起ping操作之后,moon主机ping主机alice的IP地址10.1.0.10,bob主机ping主机sun的eth1接口地址10.2.0.1。两种情况下都会通过目的IP地址在内核中匹配到IPsec策略,而这时还没有建立SA,内核将向用户层发送acquire消息,如下为moon和bob接收到acquire消息的日志,acquire消息会将选择的本地出口IP地址发送到应用层。

moon:: cat /var/log/daemon.log::creating acquire job::YES
bob::  cat /var/log/daemon.log::creating acquire job::YES

以下为ipsec statusall的命令输出,注意Routed Connections字段,表明到sun主机的连接选择的本地端口为192.168.0.1,reqid为2;而到alice主机的连接的本地端口选择的为10.1.0.1,请求ID(reqid)为1。

Connections:
       alice:  %any...10.1.0.10  IKEv2, dpddelay=10s
       alice:   local:  [C=CH, O=strongSwan Project, CN=moon.strongswan.org] uses public key authentication
       alice:    cert:  "C=CH, O=strongSwan Project, CN=moon.strongswan.org"
       alice:   remote: [C=CH, O=strongSwan Project, OU=Sales, CN=alice@strongswan.org] uses public key authentication
       alice:   child:  dynamic === dynamic TRANSPORT, dpdaction=hold
         sun:  %any...192.168.0.2  IKEv2, dpddelay=10s
         sun:   local:  [C=CH, O=strongSwan Project, CN=moon.strongswan.org] uses public key authentication
         sun:    cert:  "C=CH, O=strongSwan Project, CN=moon.strongswan.org"
         sun:   remote: [C=CH, O=strongSwan Project, CN=sun.strongswan.org] uses public key authentication
         sun:   child:  dynamic === dynamic TRANSPORT, dpdaction=hold
Routed Connections:
         sun{2}:  ROUTED, TRANSPORT, reqid 2
         sun{2}:   192.168.0.1/32 === 192.168.0.2/32
       alice{1}:  ROUTED, TRANSPORT, reqid 1
       alice{1}:   10.1.0.1/32 === 10.1.0.10/32

在对照以下moon主机上strongswan进程的日志信息,在接收到acquire消息之后,发起IKE连接请求。与以上内容对比reqid值,完全相同。

moon charon: 07[CFG] received stroke: route 'alice'
moon charon: 11[CFG] received stroke: route 'sun'
...
moon charon: 15[KNL] creating acquire job for policy 10.1.0.1/32[udp/56614] === 10.1.0.10/32[udp/1025] with reqid {1}
moon charon: 16[IKE] initiating IKE_SA alice[1] to 10.1.0.10
...
moon charon: 05[KNL] creating acquire job for policy 192.168.0.1/32[udp/46507] === 192.168.0.2/32[udp/1025] with reqid {2}
moon charon: 05[IKE] initiating IKE_SA sun[2] to 192.168.0.2

strongswan测试版本: 5.8.1

END

redwingz
关注
专栏目录
网络协议一讲
weixin_42280395的博客
02-24 802
有这么一个经典的小问题: Q: 为什么有时候网页访问连接失败,但QQ能够连上? A:QQ直接使用IP地址连接服务器,而网络用的是DNS TCP/IP协议族 TCP/IP 是互联网相关的各类协议族的总称,按层次分别分:应用层、传输层、网络层和数据链路层 接收端的服务器在链路层接收到数据,按序往上层发送,一直到应用层。当传输到应用层,才能算真正接收到由客户端发送过来的 HTTP请求 发送端在层与层之间传输数据时,每经过一层时必定会被打上一个该层所属的首部信息。反之,接收端在层与层传输数据时,每经过一层时会
Swan - New Tab in HD-crx插件
03-17
适用于Chrome的高清版20个迷人的天鹅图像新标签页。 天鹅是天鹅属中的An科的鸟类。 天鹅的近亲包括鹅和鸭。 在Chrome的新标签页上享受高清质量的天鹅图像和其他出色的功能。 Extenson功能:一系列您喜欢的主题的高...
Swift-协议Protocol、代理、any等小知识点
qq_27909209的博客
06-03 875
协议可以用来定义方法、属性、下标的声明,协议可以被枚举、结构体、类遵守(多个协议之间用逗号隔开) protocol Drawable { func draw() var x: Int { get set } var y: Int { get } subscript(index: Int) -> Int { get set } } protocol Test1 { } protocol Test2 { } protocol Test3 { } class TestC
Go 新关键字 any,interface 会成历史吗?
EDDYCJY的博客
12-07 1576
大家好,我是煎鱼。在看 Go1.18 泛型的代码时,不知道是否有留意到一个新的关键字 any。例子如下:funcPrint[Tany](s[]T){}之前没有专门提过,但有没有小伙...
使用libreswan搭建ipsec点对点隧道 实现两idc内网网段互通
热门推荐
weixin_43423965的博客
03-25 1万+
使用libreswan搭建ipsec点对点隧道 实现两idc内网网段互通 LibreSwan是IPsec协议的开源实现,它基于FreeSwan项目,可以在RedHat的Linux发行版上使用该软件包。本文我们将使用两台 libreswan 搭建 点对点的ipsec隧道,实现两idc内网互通
SWANikev2协议dynamic-initiator配置测试
redwingz的博客
11-05 465
测试中,carol主机和moon网关都使用动态IP地址,远程用户carol在配置的right字段指定网关的域名。IKE服务通过DNS查找域名(通过/etc/hosts文件中的项模拟)。这种情况下,IP地址有可能会改变,但是连接主机的ID保持不变。在一个新的连接请求,包含与之前建立的连接相同的ID到达时,可使用新的连接代替之前连接。 实际测试中远程用户carol和网关moon建立连接之后,使用远程...
PyPI 官网下载 | SWaN_accel-1.7-py3-none-any.whl
02-05
标题中的“PyPI 官网下载 | SWaN_accel-1.7-py3-none-any.whl”表明这是一个从Python Package Index(PyPI)官方源获取的软件包,名为SWaN_accel,版本为1.7,适用于Python 3环境,且没有特定的体系结构依赖(none-...
SWAN-INCOIS-Proposal-v3-compressed (1).docx_swan_incois_weather_
09-30
weather monitoring station for use on board a ship
Swan Castle Themes & New Tab-crx插件
03-18
每次安装应用程序后,您将打开一个新标签页,您将看到此应用程序Swan Castle新标签页新标签页。天鹅城堡壁纸画廊到您的chrome和chrome os新标签页。安装扩展程序后,您每次都会有一个新的天鹅城堡。我们的目标是为...
strongswan的ipsec.conf 配置解析
最新发布
pocher的博客
12-18 976
`rightsubnet=11.252.0.0/16`:远程子网为11.252.0.0/16,表示只有与该子网相关的流量才通过VPN。`leftauth=psk`和`rightauth=psk`指定了本地端和远程端使用预共享密钥进行身份验证。- `dpdaction=clear`:如果DPD失败,清除相关的SA和SPD条目。- `closeaction=clear`:连接关闭时清除相关的SA和SPD条目。- `ikelifetime=28800s`:IKE SA的生存期。
TCP和UDP
jhy1798807161的博客
03-14 196
面向连接网络协议,是指通信双方在进行通信之前要先建立连接。比如打电话,双方通话前需要建立连接。无连接网络协议,是指通信双方不需要事先建立一条通信线路,而是把每个带有目的的地址的包送到网络线路上,由系统自主选定线路进行传输,比如QQ发信息。
IKEv2子网之间秘钥重协商
redwingz的博客
12-09 2522
以下根据strongswan代码中的testing/tests/ikev2/net2net-rekey/中的测试环境,验证一下网络到网络的IKEv2协议的秘钥重协商过程。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟网关moon和sun。 moon网关配置 moon网关的配置文件:/etc/ipsec.conf ,内容如下。为了进行秘钥重协商,安全关联的生存期lifetime指定为较短的10s,...
ubuntu16.04编译安装测试strongswan
mingpeng520的博客
06-19 1244
1.参考https://blog.csdn.net/puppylpg/article/details/64918562 配置net2net-psk 其中sudo apt-get install strongswan 这个不靠谱。最后执行sudo ipsec up net-net会报错 DH group selection failed 暂时无法解决。放弃。 不过他提供的组网图 和 组网模式 还是不错的。可以照搬。 2.参考https://blog.csdn.net/kakabuqinuo/arti
ASA的twice-nat将互联网访问的源地址转换为内网接口地址测试
weixin_34273481的博客
09-12 693
一.测试拓扑二.测试思路不考虑网络拓扑的合理性,只是考虑网络是否可通外网访问内部服务器在防火墙上映射的公网地址不通是因为R1的默认路由指向的不是防火墙,出现了非对称路由问题,导致TCP连接来回路径不一致而会话失败如果把外网访问内部服务器的源地址转换为防火墙内网接口地址,则不会出现非对称路由问题三.基本配置路由器Server:interface FastEthernet0/0     ip addr...
SWANikev2协议mobike配置测试
redwingz的博客
11-11 1196
测试主要验证远程用户alice与网关sun建立连接时,首先使用eth1接口的IP地址发起连接,在建立连接之后,禁用eth1,以便连接可更新到eth0接口上。其中alice主机的两个接口与sun网关之间都是可达的。以此测试mobike功能。本次测试拓扑如下: eth1 |--------| 192.168.0.50 ...
SWANikev2协议double-nat配置测试
redwingz的博客
11-05 1165
测试主要验证分别位于NAT网关moon和sun之后的用户alice和bob建立连接的功能。其中由alice发起连接,moon网关执行SNAT变化,sun网关执行DNAT变化,strongswan在此情况下检测到NAT网关的存在,启用NAT-T功能。本次测试拓扑如下: alice主机配置 alice的配置文件:ikev2/double-nat/hosts/alice/etc/ipsec.conf...
VPP配置gre or IPSec IKEv2远端any
沉默的鹏先生
03-21 1719
1、配置拓扑图 2、FW1配置(主动) 2.1、配置接口IP set int state GigabitEthernet2/1/0 up set int ip address GigabitEthernet2/1/0 20.20.20.1/24 set int state GigabitEthernet2/2/0 up set int ip address GigabitEther...
Failed to connect to cq-bbjf-swan-32-1:41834
04-01
"cq-bbjf-swan-32-1:41834" appears to be a server or device name and port number. The issue could be due to a variety of reasons such as network connectivity issues, incorrect credentials, or the ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值