SWAN之ikev2协议config-payload配置测试

最新推荐文章于 2023-10-31 08:34:11 发布
最新推荐文章于 2023-10-31 08:34:11 发布
阅读量852 收藏 2
点赞数
分类专栏: IPSecurity 文章标签: strongswan
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_20184565/article/details/102887243
版权

本测试主要验证远程用户carol以及dave和网关moon之间的IKE配置(configuration)功能,由两个远程用户发起配置请求,moon网关回复分配的虚拟IP地址和DNS服务器地址信息。在远程用户carol和dave主机的ipsec.conf配置文件中,将leftsourceip设置为%config开启此功能。测试拓扑如下:

在这里插入图片描述

主机配置

carol的连接配置文件:ikev2/config-payload/hosts/carol/etc/ipsec.conf,内容如下,主要关注home连接中的leftsourceip字段设置为%config,这正是本次测试的地址配置功能。dave主机的ipsec.conf配置与carol基本相同。

config setup

conn %default
        ikelifetime=60m
        keylife=20m
        rekeymargin=3m
        keyingtries=1
        keyexchange=ikev2

conn home
        left=PH_IP_CAROL
        leftsourceip=%config
        leftcert=carolCert.pem
        leftid=carol@strongswan.org
        leftfirewall=yes
        right=PH_IP_MOON
        rightsubnet=10.1.0.0/16
        rightid=@moon.strongswan.org
        auto=add

网关moon配置

moon的配置文件:ikev2/config-payload/hosts/moon/etc/ipsec.conf,内容如下,主要关注rw-carol连接的rightsourceip字段设置为PH_IP_CAROL1,此为要分配给carol主机的虚拟IP,由全局配置文件strongswan-5.8.1/testing/testing.conf可知其值为10.3.0.1。对于连接rw-dave配置相似,分配给dave的虚拟IP地址为PH_IP_DAVE1,其值为10.3.0.2。

config setup

conn %default
        ikelifetime=60m
        keylife=20m
        rekeymargin=3m
        keyingtries=1
        keyexchange=ikev2
        left=PH_IP_MOON
        leftsubnet=10.1.0.0/16
        leftcert=moonCert.pem
        leftid=@moon.strongswan.org
        leftfirewall=yes

conn rw-carol
        right=%any
        rightid=carol@strongswan.org
        rightsourceip=PH_IP_CAROL1
        auto=add

conn rw-dave
        right=%any
        rightid=dave@strongswan.org
        rightsourceip=PH_IP_DAVE1
        auto=add

在以下的ikev2/config-payload/hosts/moon/etc/strongswan.conf配置文件中,配置了两个dns域名,分别为vinnetou和venus,其值为:10.1.0.20和192.168.0.150。

charon {
  load = random nonce aes sha1 sha2 pem pkcs1 curve25519 gmp x509 curl revocation hmac stroke kernel-netlink socket-default updown attr

  dns1 = PH_IP_WINNETOU
  dns2 = PH_IP_VENUS
}

测试准备阶段

配置文件:ikev2/config-payload/pretest.dat,主要是ipsec连接的启动,不再累述。

测试阶段

配置文件:ikev2/config-payload/evaltest.dat。以下测试语句检查carol主机上strongswan的运行日志,匹配安装虚拟ip地址:PH_IP_CAROL1的信息。接下来在carol的接口eth0上确认此IP地址,以及检查路由表220中的去往10.1.0.0/16网段的源地址为PH_IP_CAROL1的路由信息。

以及确认/etc/resolv.conf文件中配置的DNS服务器信息,此处配置了两个DNS:PH_IP_WINNETOU和PH_IP_VENUS,参见moon网关的strongswan.conf配置文件。使用ping命令检查carol到主机alice的连通性。

carol::cat /var/log/daemon.log::installing new virtual IP PH_IP_CAROL1::YES
carol::ip addr list dev eth0::PH_IP_CAROL1::YES
carol::ip route list table 220::10.1.0.0/16.*src PH_IP_CAROL1::YES
carol::cat /etc/resolv.conf::nameserver PH_IP_WINNETOU .*by strongSwan::YES
carol::cat /etc/resolv.conf::nameserver PH_IP_VENUS .*by strongSwan::YES
carol::ping -c 1 PH_IP_ALICE::64 bytes from PH_IP_ALICE: icmp_.eq=1::YES

以下为在主机dave上进行的测试语句,与以上主机carol上的测试类似。

dave:: ipsec status 2> /dev/null::home.*ESTABLISHED.*dave@strongswan.org.*moon.strongswan.org::YES
dave:: ipsec status 2> /dev/null::home.*INSTALLED, TUNNEL::YES
dave:: cat /var/log/daemon.log::installing new virtual IP PH_IP_DAVE1::YES
dave:: ip addr list dev eth0::PH_IP_DAVE1::YES
dave:: ip route list table 220::10.1.0.0/16.*src PH_IP_DAVE1::YES
dave:: ping -c 1 PH_IP_ALICE::64 bytes from PH_IP_ALICE: icmp_.eq=1::YES

以下为在carol主机上strongswan进程的日志文件的部分信息,显示了DNS和虚拟IP的安装日志。

carol charon: 13[IKE] installing DNS server 192.168.0.150 to /etc/resolv.conf
carol charon: 13[IKE] installing DNS server 10.1.0.20 to /etc/resolv.conf
carol charon: 13[IKE] installing new virtual IP 10.3.0.1

由下图tcpdump抓取的报文(已解密)可见,alice主机在IKE_AUTH Initiator Request报文中携带了Configuration(47)载荷,其中的类型为:CFG_REQUEST(1),这里有两个请求的配置属性:INTERNAL_IP4_ADDRESS和INTERNAL_IP4_DNS。

在这里插入图片描述

在moon网关的回复报文IKE_AUTH Responder Response中,携带了回复的Configuration载荷,其中类型为:CFG_REPLY(2),三个配置属性,分别为虚拟IP地址和两个DNS服务器地址。如下所示。

在这里插入图片描述

最后关于strongswan使用的默认路由表220,也可在编译配置strongswan代码时进行修改,如下为文件strongswan-5.8.1/configure中关于routing_table的内容,默认使用220。

  --with-routing-table=arg
                          set routing table to use for IPsec routes (default:
                          220).
  --with-routing-table-prio=arg
                          set priority for IPsec routing table (default: 220).

另外,还可在配置文件strongswan.conf中修改所使用的路由表。

# Options for the charon IKE daemon.
charon {
    # Numerical routing table to install routes to.
    # routing_table =

    # Priority of the routing table.
    # routing_table_prio =
}

以下为测试ping报文。
在这里插入图片描述

strongswan测试版本: 5.8.1

END

redwingz
关注
专栏目录
StrongSwan IKEv2 搭建Linux 与 Cisco的 GRE Tunnel over IPsec IKEv2
taylorgogo
06-03 3056
目录StrongSwan IKEv2 搭建Linux 与 Cisco的 GRE Tunnel over IPsec IKEv2环境效果图安装配置应用 StrongSwan IKEv2 搭建Linux 与 Cisco的 GRE Tunnel over IPsec IKEv2 环境 Linux: cat /proc/version Linux version 4.15.0-73-generic (buildd@lcy01-amd64-006) (gcc version 7.4.0 (Ubuntu 7.4.0-1
strongswan Ubuntu 服务端修改 IKEv2 协议握手端口号
最新发布
天苍野茫
08-07 1003
在 Ubuntu 22.04 搭建 strongSwan 服务端,并且修改 IKEv2 协议的握手端口 4500
SWANikev2协议config-payload-swapped配置测试
redwingz的博客
11-03 280
测试主要验证远程用户carol以及dave和网关moon之间的IKE配置configuration)功能,由两个远程用户发起配置请求,moon网关回复分配的虚拟IP地址和DNS服务器地址信息。在远程用户carol和dave主机的ipsec.conf配置文件中,将rightsourceip设置为%config开启此功能。此测试config-payload测试基本相同(),只是这里使用right...
ikev2 配置
LinuxKernelCiscoIOS的博客
04-29 5930
LAN----------site1  ---------------------INTERNET -------------------site2------------LAN  172.16.1.1     .1  202.100.1.0/24  .10          .10  61.128.1.0/24  .1      10.1.1.1 ------------------
strongswan与sangfor的ikev2配置
zdl244的博客
07-03 1296
strongswan与sangfor的ikev2配置 ikev1参考:https://blog.csdn.net/zdl244/article/details/103163256 [root@moc ~]# yum install epel-release -y [root@moc ~]# yum install strongswan -y [root@moc ~]# cat /etc/strongswan/ipsec.conf config setup # strictcrlpolicy=
openwrt strongswan IPSec IKEV2
季春贰柒的博客
02-24 2万+
前言:文章是作者基于一段时间的学习成果而写的,主要是为了记录下搭建VPN的过程以及遇到的一些麻烦错误,方便之后继续学习或者使用。当然如果能帮到一些读者自然是更好的。鉴于本人水平有限,文章之中难免会出现错漏不足之处,恳请批评指教、留言讨论。 学习过程中在网友文章中发现此图,诚不我欺(手动狗头)。 0.准备 俩台openwrt系统路由器、一部手机(安卓、苹果都行略有差别后续会说到)、阿里云服务器、 1.安装strongswan 这一步网上随意搜索就可以看到许多保姆级别教程,写得很详细。如果你实在懒得搜,轻移贵
Swan - New Tab in HD-crx插件
03-17
适用于Chrome的高清版20个迷人的天鹅图像新标签页。 天鹅是天鹅属中的An科的鸟类。 天鹅的近亲包括鹅和鸭。 在Chrome的新标签页上享受高清质量的天鹅图像和其他出色的功能。 Extenson功能:一系列您喜欢的主题的高...
SWAN-INCOIS-Proposal-v3-compressed (1).docx_swan_incois_weather_
09-30
weather monitoring station for use on board a ship
Swan Castle Themes & New Tab-crx插件
03-18
每次安装应用程序后,您将打开一个新标签页,您将看到此应用程序Swan Castle新标签页新标签页。天鹅城堡壁纸画廊到您的chrome和chrome os新标签页。安装扩展程序后,您每次都会有一个新的天鹅城堡。我们的目标是为...
swan-10-03-12.tar.gz_OpencL_opencl cuda_swan
09-21
本文将重点讨论标题为"swan-10-03-12.tar.gz_OpencL_opencl cuda_swan"的压缩包中的Swan工具,这是一个辅助从CUDA到OpenCL移植的实用程序。 Swan的设计目标是为了简化开发人员的工作,帮助他们将原本基于CUDA的代码...
swan-team#host-app-guide#账号1
07-25
1.1. 文档版本 1.2. 功能说明 1.3. 开发指南 1.3.1. 协议 1.3.2. 接口列表 1.3.3. 示例 1.1. 文档版本 1.2. 功能说
rfc7296 IKEv2
03-21
rfc7296 IKEv2 pdf IKEv2 rfc7296 Internet Key Exchange
SWANikev2协议farp配置测试
redwingz的博客
11-05 523
测试主要验证远程用户carol、dave与网关moon建立连接时,并且通过在ipsec.conf文件中设置leftsourceip=%config,向moon网关请求虚拟IP地址,此虚拟地址位于10.1.0.0/16网段,得到虚拟IP地址的carol和dave主机相当位于和主机alice(10.1.0.10)相同的网段。借助于moon网关的farp代理插件,alice主机可与carol和dave...
使用数字证书配置IKEv2
凯歌响起的博客
08-01 1956
数字证书配置IKEv2
strongswan--ikev2软件架构
weixin_30340617的博客
09-03 758
strongswan IKEv2后台进程的软件架构图 processor是任务管理器,负责对线程(threads)和作业(jobs)进行管理,其结构为private_processor_t。 worker_thread_t为工作线程的结构,包括实际的线程(thread)、当前正在执行的作业(job)和当前作业的优先级。 转载于:https://www.cnblogs.com/coll...
配置StrongSwan支持ios9 ikev2免证书登录
热门推荐
yanzi1225627的专栏
03-25 2万+
ios9上有个ikev1,还有个ikev2,前文虽然支持ikev1,但是不支持ikev2,出于程序员的天性杂家觉得不得劲了。经过一番努力终于搞定了支持ikev2配置方法。本文前提是基于前文使用链接的脚本成功跑通了ikev1. 因为个别vps上可能遇到麻烦,因为路由iptables的问题导致ikev1连不上,所以最好一步一步好。ikev1能连上的情况下,不用担心路由的问题,只需修改/usr/loc
strongswan 配置ikev2 for iOS and Android
sonflower123的博客
02-02 1万+
strongswan 高版本已支持ikev2,ios9.0以上版本的支持ikev2,Android也是高版本的部分机型支持ikev2,本人搭建的基于ikev2交换协议strongswan VPN服务器对与iOS 是免证书的(iOS VPN客户端自己写的),Android (VPN客户端是stongswan 官网提供的客户端)服务器认证是证书,客户端认证是eap模式配置文件如下 1.生成服务器证
openwrt中搭建strongswan服务器vpn支持ipsec ikev2
初学者的专栏
10-31 8641
请注意,这只是一个基本的配置示例,你可能还需要根据你的网络环境和需求进行一些额外的配置调整。强烈建议在实际部署之前阅读StrongSwan和OpenWrt的官方文档以获取更多信息和指导。编辑StrongSwan的IPsec预共享密钥配置文件。OpenWrt上StrongSwan VPN服务器的安装和配置。编辑StrongSwan的IPsec连接配置文件。编辑StrongSwan的主配置文件。打开终端或SSH连接到你的OpenWrt路由器。
Failed to connect to cq-bbjf-swan-32-1:41834
04-01
As an AI language model, I do not have enough information to accurately diagnose the issue. However, "Failed to connect" typically means that a connection was attempted but not successfully established. "cq-bbjf-swan-32-1:41834" appears to be a server or device name and port number. The issue could be due to a variety of reasons such as network connectivity issues, incorrect credentials, or the server being down. It is recommended to check the server status, network connection, and ensure that the correct credentials are being used. If the issue persists, contacting the server administrator or technical support may be necessary.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值