SWAN之ikev2协议double-nat配置测试

最新推荐文章于 2022-07-28 14:01:54 发布
最新推荐文章于 2022-07-28 14:01:54 发布
阅读量1.1k 收藏
点赞数
分类专栏: IPSecurity 文章标签: strongswan nat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_20184565/article/details/102923524
版权

本测试主要验证分别位于NAT网关moon和sun之后的用户alice和bob建立连接的功能。其中由alice发起连接,moon网关执行SNAT变化,sun网关执行DNAT变化,strongswan在此情况下检测到NAT网关的存在,启用NAT-T功能。本次测试拓扑如下:

在这里插入图片描述

alice主机配置

alice的配置文件:ikev2/double-nat/hosts/alice/etc/ipsec.conf,内容如下,keyexchange字段为ikev2,表示采用IKEv2协议。left字段的值%defaultroute意味值由默认路由中获取本端的出口IP地址。right字段指明对端为sun网关,但是rightid字段为bob的ID信息:bob@strongswan.org。bob主机位于网关sun之后,bob主机地址对外不可见。

config setup

conn %default
        ikelifetime=60m
        keylife=20m
        rekeymargin=3m
        keyingtries=1
        keyexchange=ikev2

conn nat-t
        left=%defaultroute
        leftcert=aliceCert.pem
        leftid=alice@strongswan.org
        leftfirewall=yes
        right=PH_IP_SUN
        rightid=bob@strongswan.org
        rightsubnet=PH_IP_BOB/32
        auto=add

bob的配置文件:ikev2/double-nat/hosts/bob/etc/ipsec.conf,内容如下,基本内容与alice主机相同。但是right字段的值为%any,表明接收任何主机发来的连接,此配置不能主动发起连接,需要等待alice的连接请求。

config setup

conn %default
        ikelifetime=60m
        keylife=20m
        rekeymargin=3m
        keyingtries=1
        keyexchange=ikev2

conn nat-t
        left=%defaultroute
        leftcert=bobCert.pem
        leftid=bob@strongswan.org
        leftfirewall=yes
        right=%any
        rightsubnet=10.1.0.0/16
        auto=add

测试准备阶段

配置文件:ikev2/double-nat/pretest.dat内容如下。由于alice和bob主机分别位于网关moon和sun之后,需要在网关上配置NAT策略。对于由moon网关的eth0接口外层的UDP和TCP流量执行SNAT,将地址变换为moon主机的eth0接口IP(192.168.0.1),对于UDP,变换之后的端口范围:1024-1100,对于TCP协议,端口范围:2000-2100。

对于sun网关的需要配置SNAT和DNAT,首先对于bob主动发送的TCP流量,在sun的eth0出口执行SNAT;而对于主动进入eth0接口的UDP流量,执行DNAT,可见后一种DNAT是为IKE协议使用。

moon::iptables -t nat -A POSTROUTING -o eth0 -s 10.1.0.0/16 -p udp -j SNAT --to-source PH_IP_MOON:1024-1100
moon::iptables -t nat -A POSTROUTING -o eth0 -s 10.1.0.0/16 -p tcp -j SNAT --to-source PH_IP_MOON:2000-2100
sun::iptables -t nat -A POSTROUTING -o eth0 -s 10.2.0.0/16 -p tcp -j SNAT --to-source PH_IP_SUN:2000-2100
sun::iptables -t nat -A PREROUTING -i eth0 -s PH_IP_MOON -p udp -j DNAT --to-destination PH_IP_BOB

测试阶段

配置文件:ikev2/double-nat/evaltest.dat。以下测试语句注意检查alice和bob主机上连接的建立情况,最后在alice主机上ping主机bob验证连通性。

alice::ipsec status 2> /dev/null::nat-t.*ESTABLISHED.*alice@strongswan.org.*bob@strongswan.org::YES
bob::  ipsec status 2> /dev/null::nat-t.*ESTABLISHED.*bob@strongswan.org.*alice@strongswan.org::YES
alice::ipsec status 2> /dev/null::nat-t.*INSTALLED, TUNNEL.*ESP in UDP::YES
bob::  ipsec status 2> /dev/null::nat-t.*INSTALLED, TUNNEL.*ESP in UDP::YES
alice::ping -c 1 PH_IP_BOB::64 bytes from PH_IP_BOB: icmp_.eq=1::YES

以下为alice主机上ipsec status的输出结果,可见SA连接的信息:ESP in UDP。

Connections:
       nat-t:  %any...192.168.0.2  IKEv2
       nat-t:   local:  [alice@strongswan.org] uses public key authentication
       nat-t:    cert:  "C=CH, O=strongSwan Project, OU=Sales, CN=alice@strongswan.org"
       nat-t:   remote: [bob@strongswan.org] uses public key authentication
       nat-t:   child:  dynamic === 10.2.0.10/32 TUNNEL
Security Associations (1 up, 0 connecting):
       nat-t[1]: ESTABLISHED 0 seconds ago, 10.1.0.10[alice@strongswan.org]...192.168.0.2[bob@strongswan.org]
       nat-t[1]: IKEv2 SPIs: 283d7127e78059d4_i* 8532fd3c8b2126e0_r, public key reauthentication in 53 minutes
       nat-t[1]: IKE proposal: AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/CURVE_25519
       nat-t{1}:  INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: c591fbe0_i ce87c6ba_o

以下为alice发送的IKE_SA_INIT报文,源地址为10.1.0.10,源端口为500。IKE_AUTH报文增加了UDP报头,源端口为4500,即NAT-T端口。

在这里插入图片描述

中间NAT设备的检查,由IKE_SA_INIT消息中的负荷字段:NAT_DETECTION_SOURCE_IP和NAT_DETECTION_DESTINATION_IP负责,其内容为对报文原始IP和端口的哈希值,后者为对原始目的IP和端口的哈希值。

在这里插入图片描述

以下为在bob主机上抓取的报文,可见moon主机进行的SNAT变换,将alice发送报文的源IP地址修改为moon接口eth0的IP地址(192.168.0.1),将源端口修改为1029(IKE_SA_INIT报文)或1027(IKE_AUTH报文)。

在这里插入图片描述

以下的ping报文交互(分别为alice和bob主机上的抓包),也为ICMP增加了UDP报头,在alice主机上UDP的端口号使用4500,与IKE_AUTH报文的端口号相同,因此在moon网关上做SNAT变化时,仍然使用源端口1027,目的端口4500。对于ESP报文,在bob主机接收到之后,将丢弃UDP报文。

在这里插入图片描述

以下为bob上ping报文:

在这里插入图片描述

strongswan测试版本: 5.8.1

END

redwingz
关注
专栏目录
strongswan Ubuntu 服务端修改 IKEv2 协议握手端口号
天苍野茫
08-07 1029
在 Ubuntu 22.04 搭建 strongSwan 服务端,并且修改 IKEv2 协议的握手端口 4500
Swan - New Tab in HD-crx插件
03-17
适用于Chrome的高清版20个迷人的天鹅图像新标签页。 天鹅是天鹅属中的An科的鸟类。 天鹅的近亲包括鹅和鸭。 在Chrome的新标签页上享受高清质量的天鹅图像和其他出色的功能。 Extenson功能:一系列您喜欢的主题的高...
Strongswan:gcrypt-ikev2/rw-cert测试浅析
hhd1988的专栏
06-22 697
Strongswan:gcrypt-ikev2/rw-cert测试浅析
SWANikev2协议ip-two-pools-mixed配置测试
redwingz的博客
11-11 460
测试主要验证远程用户carol和alice,通过设置ipsec.conf文件中的leftsourceip等于%config,在与网关moon建立连接时,请求获取虚拟IP地址的功能。测试中moon网关定义了两个连接,对应于moon的接口eth0和eth1,分别用于服务carol和alice主机,一个链接使用rightsourceip=%intpool的地址池方式定义;另外一个连接使用简单的网段定义...
SWANikev2协议dpd-restart配置测试
redwingz的博客
11-05 2068
测试主要验证远程用户carol和网关moon建立连接之后,由于链路问题,导致DPD(Dead Peer Detection)检测报文没有响应,之后链路恢复,自动重新建立连接的功能。本次测试拓扑如下: carol主机配置 carol的配置文件:ikev2/dpd-restart/hosts/carol/etc/ipsec.conf,内容如下,keyexchange字段为ikev2,表示采用IKE...
SWANikev2协议crl-ldap配置测试
redwingz的博客
11-04 757
测试主要验证远程用户carol和网关moon通过LDAP协议由LDAP服务器获取CRL证书的功能,以及对CRL证书进行缓存的设置。测试开始时网关moon和远程用户carol开启了严格CRL策略,但是缓存在本地目录:/etc/ipsec.d/crls/目录下的CRL证书已经过期,因此需要由LDAP服务器winnetou(IP地址:192.168.0.150)重新获得CRL证书,之后,由于设置了ch...
SWANikev2协议double-nat-net配置测试
redwingz的博客
11-05 808
测试主要验证分别位于NAT网关moon和sun之后的用户alice和bob建立连接的功能。其中由alice发起连接,moon网关执行SNAT变化,sun网关执行DNAT变化,strongswan在此情况下检测到NAT网关的存在,启用NAT-T功能。最后在NAT网关sun上配置路由,为bob所在网段的主机提供远程服务。本次测试拓扑如下: alice主机配置 alice的配置文件:ikev2/do...
SWAN-INCOIS-Proposal-v3-compressed (1).docx_swan_incois_weather_
09-30
weather monitoring station for use on board a ship
Swan Castle Themes & New Tab-crx插件
03-18
每次安装应用程序后,您将打开一个新标签页,您将看到此应用程序Swan Castle新标签页新标签页。天鹅城堡壁纸画廊到您的chrome和chrome os新标签页。安装扩展程序后,您每次都会有一个新的天鹅城堡。我们的目标是为...
swan-10-03-12.tar.gz_OpencL_opencl cuda_swan
09-21
本文将重点讨论标题为"swan-10-03-12.tar.gz_OpencL_opencl cuda_swan"的压缩包中的Swan工具,这是一个辅助从CUDA到OpenCL移植的实用程序。 Swan的设计目标是为了简化开发人员的工作,帮助他们将原本基于CUDA的代码...
swan-team#host-app-guide#账号1
07-25
1.1. 文档版本 1.2. 功能说明 1.3. 开发指南 1.3.1. 协议 1.3.2. 接口列表 1.3.3. 示例 1.1. 文档版本 1.2. 功能说
Double NAT的一种可行方法
hellwolf:狼的世界(已废弃)
08-11 3789
当两个子网通过NAT网关相连,而且子网与子网又有ip重叠的话,你该怎么办呢?Double NAT可以解决这个问题,但记住这个方法是Hacker-Style的——怪异却工作的方法。看如下的情形:Network 1 192.168.150.0 (Corporate) --------------/------------------------- Network
SWANikev2协议compress-nat配置测试
redwingz的博客
11-03 565
测试主要验证远程用户alice和VPN网关carol之间部署有NAT网关moon,以及远程用户bob与VPN网关carol之间部署有NAT网关sun的情况下的连接建立情况,以及IPComp压缩功能。而且测试了carol网关为远程用户alice和bob进行流量转发的情况。测试拓扑如下: 主机配置 alice的连接配置文件:ikev2/compress-nat/hosts/alice/etc/ip...
IPSec IKEV2
潇峰的博客
08-04 1343
理论IKEv2介绍:定义在RFC4306 ,更新与 RFC 5996.不兼容IKEv1,IKEv1不支持认证,IKEv2支持认证,EAP。支持NAT穿越。IKEv2支持私密性、完整性、源认证。工作在UDP 的 500 /4500端口。NAT-T用的是UDP4500端口。 Cisco Flex VPN 约等于IKEV2。DH算法:离散对数问题,在数学上无解,保证信息交换的安全性。IKEV1第一阶段(...
Twice NAT
qq_43331152的博客
09-26 1361
需求1: object network Inside-Network subnet 10.1.1.0 255.255.255.0 object network Outside-Router-Lo0 host 1.1.1.1 object network To-Lo0-NATed-Address host 202.100.1.101 nat (Inside,Ou...
SWANikev2协议ip-two-pools-v4v6配置测试
redwingz的博客
11-11 656
测试主要验证远程用户carol通过设置ipsec.conf文件中的leftsourceip等于%config4和%config6,在与网关moon建立连接时,请求获取虚拟IPv4和IPv6地址的功能。测试中moon网关在rightsourceip字段定义了IPv4和IPv6的虚拟地址段。连接建立之后,IPv4和IPv6的流量都将被封装在隧道内。本次测试拓扑如下: 主机配置 carol的配置文件...
SWANikev2协议host2host-transport-nat配置测试
redwingz的博客
11-07 694
测试主要说明在NAT网关moon之后的两个VPN客户端(alice和venus)使用传输模式连接外部VPN网关(sun)时的问题。由于sun网关上的安全策略冲突,导致后者的连接将替换前者的连接。另外,当alice建立连接之后,如果venus不进行连接的建立,而执行ping网关sun的操作,将没有回复,原因是此报文匹配sun网关的加密策略(alice所建立),但是报文并没有加密,被丢弃(文件/pr...
VSR公网对接strongSwan NAT穿越
衡水铁头哥的博客
07-28 1074
实际使用中穿越NAT在所难免,其实这种也好解决,按照前面配置H3C的思路,我们调整对应的配置为野蛮模式+FQDN应该就可以了。
IPSec对NAT网关内部多个连接的支持
redwingz的博客
12-05 1831
以下根据strongswan代码中的testing/tests/ikev2/nat-rw-mark/中的测试环境,在安全连接的两个节点之间存在NAT网关的情况,并且在安全网关上对外部连接的端点地址在访问内部网络之前,执行SNAT操作,适用于外部的分支使用与总部不同网段地址的情况。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟网关moon和sun。 sun网关配置 sun的配置文件:/etc/ip...
Failed to connect to cq-bbjf-swan-32-1:41834
最新发布
04-01
As an AI language model, I do not have enough information to accurately diagnose the issue. However, "Failed to connect" typically means that a connection was attempted but not successfully established. "cq-bbjf-swan-32-1:41834" appears to be a server or device name and port number. The issue could be due to a variety of reasons such as network connectivity issues, incorrect credentials, or the server being down. It is recommended to check the server status, network connection, and ensure that the correct credentials are being used. If the issue persists, contacting the server administrator or technical support may be necessary.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值