SWAN之ikev2协议dhcp-static-mac配置测试

最新推荐文章于 2022-08-15 17:22:28 发布
最新推荐文章于 2022-08-15 17:22:28 发布
阅读量605 收藏
点赞数
分类专栏: IPSecurity 文章标签: strongswan dhcp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_20184565/article/details/102905212
版权

本测试主要验证网关moon通过DHCP协议由服务器获取地址,在DHCP发现报文中携带客户端的ID信息,获取指定地址,但是本次测试虽然携带了ID字段,但是在DHCP服务器中配置了基于特定MAC地址的IP分配,分配给远程客户端carol和dave的功能,以及moon网关上farp插件的arp代理功能。DHCP服务器为主机venus(10.1.0.20),其IP池的范围是:10.1.0.50到10.1.0.60。本次测试拓扑如下:

在这里插入图片描述

carol主机配置

carol的配置文件:ikev2/dhcp-static-mac/hosts/carol/etc/ipsec.conf,内容如下,注意其中leftsourceip字段指定为%config,意味值将向对端请求IP地址信息。

config setup

conn %default
        ikelifetime=60m
        keylife=20m
        rekeymargin=3m
        keyingtries=1
        keyexchange=ikev2

conn home
        left=PH_IP_CAROL
        leftsourceip=%config
        leftcert=carolCert.pem
        leftid=carol@strongswan.org
        leftfirewall=yes
        right=PH_IP_MOON
        rightsubnet=10.1.0.0/16
        rightid=@moon.strongswan.org
        auto=add

主机dave的配置与carol基本相同。以下为moon网关的配置文件:ikev2/dhcp-static-mac/hosts/moon/etc/ipsec.conf,注意这里的rightsourceip字段指定为%dhcp,将为连接的客户端使用dhcp服务器分配地址。

config setup

conn %default
        ikelifetime=60m
        keylife=20m
        rekeymargin=3m
        keyingtries=1
        keyexchange=ikev2
        left=PH_IP_MOON
        leftsubnet=10.1.0.0/16
        leftcert=moonCert.pem
        leftid=@moon.strongswan.org
        leftfirewall=yes

conn rw
        right=%any
        rightsourceip=%dhcp
        auto=add

网关moon的配置文件:ikev2/dhcp-static-mac/hosts/moon/etc/strongswan.conf,内容如下,相关的插件由farp和dhcp,前者用于arp代理,后者支持DHCP协议相关操作(DHCP客户端)。DHCP的服务器地址指定为广播地址:10.1.255.255,identity_lease设置为yes表示在DHCP发现报文中发送ID字段。

charon {
  load = random nonce aes sha1 sha2 pem pkcs1 curve25519 gmp x509 curl revocation hmac stroke kernel-netlink socket-default updown attr farp dhcp

  plugins {
    dhcp {
      server = 10.1.255.255
      identity_lease = yes
    }
  }
}

网关moon的配置文件:ikev2/dhcp-static-mac/hosts/moon/etc/iptables.rules,内容如下。由于要使用DHCP服务,这里在INPUT和OUTPUT链上运行bootpc和bootps报文通过,另外在INPUT链允许eth1接口的目的地址为10.1.255.255的广播报文,因为DHCP的offer和ack报文可能已广播的形式返回。

# allow bootpc and bootps
-A OUTPUT -p udp --sport bootpc --dport bootps -j ACCEPT
-A INPUT  -p udp --sport bootps --dport bootps -j ACCEPT

# allow broadcasts from eth1
-A INPUT -i eth1 -d 10.1.255.255 -j ACCEPT

DHCP配置

DHCP服务器配置在venus主机(10.1.0.20)上,其配置文件如下。定义的可分配的IP地址范围:10.1.0.50到10.1.0.60,在本次测试中使用了两台客户端(carol和dave),根据DHCP发现报文Discovery中的client-identifier字段的值设置了两个固定IP分配方案,一是如果ID等于carol@strongswan.org,IP地址分配为10.1.0.30。另一个是ID为dave@strongswan.org时,IP固定分配10.1.0.40。

$ cat ikev2/dhcp-static-mac/hosts/venus/etc/dhcp/dhcpd.conf 
# dhcpd configuration file

ddns-update-style none;

subnet 10.1.0.0 netmask 255.255.0.0 {
  option domain-name          "strongswan.org";
  option domain-name-servers   PH_IP_VENUS;
  option netbios-name-servers  PH_IP_ALICE;
  option routers               PH_IP_MOON1;
  option broadcast-address     10.1.255.255;
  next-server                  PH_IP_VENUS;

  range 10.1.0.50 10.1.0.60;
}

host carol {
  hardware ethernet            7a:a7:51:cc:22:4a;
  fixed-address                10.1.0.30;
}

host dave {
  hardware ethernet            7a:a7:93:70:2b:21;
  fixed-address                10.1.0.40;
}

以下为DNSMASQ的配置,其内容与以上的DHCP配置文件达到的效果一致。根据以下pretest.dat测试准备阶段的内容,本测试启动的服务为isc-dhcp-server,使用以上的配置文件。

$ cat ikev2/dhcp-static-mac/hosts/venus/etc/dnsmasq.conf 
interface=eth0
dhcp-range=10.1.0.50,10.1.0.60,255.255.0.0,10.1.255.255
dhcp-host=7a:a7:51:cc:22:4a,10.1.0.30
dhcp-host=7a:a7:93:70:2b:21,10.1.0.40
dhcp-option=option:router,PH_IP_MOON1
dhcp-option=option:dns-server,PH_IP_VENUS
dhcp-option=option:netbios-ns,PH_IP_ALICE
dhcp-option=option:domain-name,strongswan.org
log-dhcp

测试准备阶段

配置文件:ikev2/dhcp-static-mac/pretest.dat,除了通常的ipsec连接的启动的语句外,需要注意的是在venus主机上启动dhcp服务。

venus::cat /etc/dhcp/dhcpd.conf
venus::service isc-dhcp-server start 2> /dev/null

测试阶段

配置文件:ikev2/dhcp-static-mac/evaltest.dat。以下测试语句检查carol主机上连接的建立情况。之后,在内部主机alice上使用ping命令测试到主机10.1.0.30的连通性,10.1.0.30为分别配给carol主机的虚拟IP地址。以及在carol主机上ping主机alice。

carol::ipsec status 2> /dev/null::home.*ESTABLISHED.*carol@strongswan.org.*moon.strongswan.org::YES
carol::ipsec status 2> /dev/null::home.*INSTALLED, TUNNEL::YES
alice::ping -c 1 10.1.0.30::64 bytes from 10.1.0.30: icmp_.eq=1::YES
carol::ping -c 1 PH_IP_ALICE::64 bytes from PH_IP_ALICE: icmp_.eq=1::YES

以下为carol主机在连接建立节点IKE_AUTH消息中发送的CFG_REQUEST载荷,ID载荷中的内容为:carol.strongswan.org,网关moon将在DHCP发现报文中携带此ID:

在这里插入图片描述

以下为moon网关回复的CFG_REPLY载荷,其中分配的IP地址为10.1.0.30,DNS服务器为10.1.0.20和10.1.0.10。

在这里插入图片描述

在moon网关回复carol主机认证消息之前,其先要向DHCP服务器venus请求IP地址,如下为交互报文。DHCP分配地址为10.1.0.30。

在这里插入图片描述

DHCP发现报文如下,虽然Client ID字段仍然为carol@strongswan.org,但是在DHCP服务器也将没有依据此ID分配IP的配置。本次测试设置了依据MAC的IP分配,Client MAC为:7a:a7:51:cc:22:4a。其中7a:a7为strongswan进程固定的字段,其它字段为哈希结果。

在这里插入图片描述

由下图可见,在alice主机发送arp请求时,moon网关回复了自身eth1接口的MAC地址。以便alice主机将ping报文发送对moon网关,经过加密之后发送给carol主机,回复报文经过相反的路径。

在这里插入图片描述

strongswan测试版本: 5.8.1

END

redwingz
关注
专栏目录
SWANikev2协议dhcp-static-client-id配置测试
redwingz的博客
11-04 1152
测试主要验证网关moon通过DHCP协议由服务器获取地址,在DHCP发现报文中携带客户端的ID信息,获取指定地址,并分配给远程客户端carol和dave的功能,以及moon网关上farp插件的arp代理功能。DHCP服务器为主机venus(10.1.0.20),其IP池的范围是:10.1.0.50到10.1.0.60。本次测试拓扑如下: carol主机配置 carol的配置文件:ikev2/d...
SWANikev2协议dhcp-dynamic配置测试
redwingz的博客
11-04 579
测试主要验证网关moon通过DHCP协议由服务器获取地址,并分配给远程客户端carol和dave的功能,以及moon网关上farp插件的arp代理功能。DHCP服务器为主机venus(10.1.0.20),其IP池的范围是:10.1.0.50到10.1.0.60。本次测试拓扑如下: carol主机配置 carol的配置文件:ikev2/dhcp-dynamic/hosts/carol/etc/...
strongswan部署ipsec ***
weixin_33909059的博客
04-14 238
strongswan部署ipsec ×××2016-11-17 11:32:32标签:***macos版权声明:原创作品,如需转载,请与作者联系。否则将追究法律责任。 公司领导的苹果电脑想用自带的×××客户端连接公司内网网络,查看了下最新版本的MAC OS有l2tp,ipsec,IKEV2的×××连接方式。 一开始打算搭建strongswan来提供IKEV2的***服...
strongswan 配置过程与问题
琪花亿草
04-24 2万+
一 过程参考:https://blog.csdn.net/gaojinshan/article/details/508205131.1 生成证书1)生成CA的密钥和证书:ipsec pki --gen --outform pem > caKey.pem ipsec pki --self --outform pem --in caKey.pem --dn "C=CN, O=TJ, CN=Tes...
从零开始搭建strongswan
B★R★S的博客
12-21 1万+
转眼一年就这么过去了,补下之前说到的手动搭建strongswan,免得拖到明年。 准备工作 一台linux服务器,这里以Debian10为例 strognswan安装包,官网下载,我用的是5.9.1 一.安装strongswan 1) 更新,添加依赖: apt update -y apt install libpam0g-dev libssl-dev make gcc curl tcpdump -y 2) 解压: 将strongswan安装包上传到linux服务器,解压后进入安装目录 t
Swan - New Tab in HD-crx插件
03-17
适用于Chrome的高清版20个迷人的天鹅图像新标签页。 天鹅是天鹅属中的An科的鸟类。 天鹅的近亲包括鹅和鸭。 在Chrome的新标签页上享受高清质量的天鹅图像和其他出色的功能。 Extenson功能:一系列您喜欢的主题的高...
SWAN-INCOIS-Proposal-v3-compressed (1).docx_swan_incois_weather_
09-30
weather monitoring station for use on board a ship
swan-10-03-12.tar.gz_OpencL_opencl cuda_swan
09-21
2. 分析与转换:Swan对代码进行深度分析,识别CUDA特性,并将其转换为OpenCL语法。 3. 生成OpenCL代码:转换完成后,Swan会输出新的OpenCL源代码,供用户进一步编译和优化。 4. 调试与优化:虽然Swan能够自动完成大...
Swan Castle Themes & New Tab-crx插件
03-18
每次安装应用程序后,您将打开一个新标签页,您将看到此应用程序Swan Castle新标签页新标签页。天鹅城堡壁纸画廊到您的chrome和chrome os新标签页。安装扩展程序后,您每次都会有一个新的天鹅城堡。我们的目标是为...
swan-team#host-app-guide#账号1
07-25
1.1. 文档版本 1.2. 功能说明 1.3. 开发指南 1.3.1. 协议 1.3.2. 接口列表 1.3.3. 示例 1.1. 文档版本 1.2. 功能说
Server2016内置CA证书实现IKEv2详细步骤180张截图1-57
10-13
Windows Server2016内置CA证书,不用域结构和DNS,实现IKEv2详细步骤的屏幕截图.
strongswan编译、配置
weixin_42548573的博客
06-23 4823
想知道怎么配置StrongSwan,首先要知道自己想搭建一个什么样的场景 在StrongSwan的官网上,我们可以在左侧找到TestScenarios,这里有许多场景,我们需要决定我们到底要再现哪一个。 进去之后点开strongSWan test suits: ...
五、IPSec开源项目strongSwan
小脑斧的博客
08-15 8588
strongSwan是一套完整的IPsec开源实现方案,用来提供服务端和客户端之间的加密和认证。
SWANikev2协议ip-two-pools配置测试
redwingz的博客
11-11 481
测试主要验证远程用户carol和alice,通过设置ipsec.conf文件中的leftsourceip等于%config,在与网关moon建立连接时,请求获取虚拟IP地址的功能。测试中moon网关定义了两个连接,对应于moon的接口eth0和eth1,分别用于服务carol和alice主机,并且定义了两个地址池分配虚拟IP地址。本次测试拓扑如下: 主机配置 carol的配置文件:ikev2/...
【openstack】FlatDHCP模式单nova-network主机部署示例
云计算?
10-18 164
FlatDHCP模式单nova-network主机部署示例 本博客欢迎转发,但请保留原作者信息!内容系本人学习、研究和总结,如有雷同,实属荣幸! 1场景图 一个控制节点 两个计算节点 eth1连接管理平面 eth2连接业务平面 2网络配置 2.1控制节点,未创建虚拟机 网络配置文件: openstack@controller-1:~$ ip a ... (loop...
DHCP分配形式
weixin_34192816的博客
05-19 137
首先,必须至少有一台 DHCP 工作在网路上面,它会监听网路的 DHCP 请求,并与客户端搓商 TCP/IP 的设定环境。它提供两种 IP 定位方式: Automatic Allocation 自动分配,其情形是:一旦 DHCP 客户端第一次成功的从 DHCP 伺服器端租用到 IP 位址之后,就永远使用这个位址。 Dynamic Allocation 动态分配,当 D...
IPSec的IKEv1和IKEv2协议
qq_43710889的博客
02-23 8526
IPSec的IKEv1和IKEv2协议 IKE介绍 文章目录IPSec的IKEv1和IKEv2协议IKE介绍IKE与IPSec的关系IKEv1的三个模式主模式和野蛮模式野蛮模式与主模式对比野蛮模式使用场景快速模式IKEv2密钥协商和交换初始交换:IKE安全机制身份认证DH(Diffie-Hellman)密钥交换算法完善的前向安全性PFS(Perfect Forward Secrecy) IKE是一个复合协议。 因特网密钥交换IKE(Internet Key Exchange)协议建立在Internet安全联
Strongswan — 常用配置说明
烟云的计算
04-05 3051
目录 文章目录目录GRE over IPSec GRE over IPSec GRE over IPSec,首先通过 GRE 对报文进行封装,然后再由 IPSec 对封装后的报文进行加密和传输。协议栈结构如下: 这种做法实现了两个 Peer 之间安全,底层怎么路由,封装 IPsec 都不管。常见的 L2TP,譬如 IP over IP 等等,其实也都是属于这个范畴的。这种做法的缺点是两端需要单独再起一个服务来实现这些封装。 ...
配置StrongSwan支持ios9 ikev2免证书登录
热门推荐
yanzi1225627的专栏
03-25 2万+
ios9上有个ikev1,还有个ikev2,前文虽然支持ikev1,但是不支持ikev2,出于程序员的天性杂家觉得不得劲了。经过一番努力终于搞定了支持ikev2配置方法。本文前提是基于前文使用链接的脚本成功跑通了ikev1. 因为个别vps上可能遇到麻烦,因为路由iptables的问题导致ikev1连不上,所以最好一步一步好。ikev1能连上的情况下,不用担心路由的问题,只需修改/usr/loc
Failed to connect to cq-bbjf-swan-32-1:41834
最新发布
04-01
"cq-bbjf-swan-32-1:41834" appears to be a server or device name and port number. The issue could be due to a variety of reasons such as network connectivity issues, incorrect credentials, or the ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值