SWAN之ikev2协议dpd-restart配置测试

最新推荐文章于 2023-12-18 11:14:15 发布
最新推荐文章于 2023-12-18 11:14:15 发布
阅读量2k 收藏 2
点赞数
分类专栏: IPSecurity 文章标签: strongswan dpd
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_20184565/article/details/102923770
版权

本测试主要验证远程用户carol和网关moon建立连接之后,由于链路问题,导致DPD(Dead Peer Detection)检测报文没有响应,之后链路恢复,自动重新建立连接的功能。本次测试拓扑如下:

在这里插入图片描述

carol主机配置

carol的配置文件:ikev2/dpd-restart/hosts/carol/etc/ipsec.conf,内容如下,keyexchange字段为ikev2,表示采用IKEv2协议。left字段的值为carol主机的IP地址。right字段指明对端为moon网关,但是rightid字段为moon的ID信息:moon@strongswan.org。rightsubnet字段指明对端的子网为:10.1.0.0/16。

需要注意的是此处指定了dpdaction的值为restart,即dpd检查失败之后,自动重新建立连接。字段dpddelay的值为10秒,指定dpd检测间隔。

config setup

conn %default
        ikelifetime=60m
        keylife=20m
        rekeymargin=3m
        keyingtries=1
        keyexchange=ikev2
        dpdaction=restart
        dpddelay=10

conn home
        left=PH_IP_CAROL
        leftcert=carolCert.pem
        leftid=carol@strongswan.org
        leftfirewall=yes
        right=PH_IP_MOON
        rightid=@moon.strongswan.org
        rightsubnet=10.1.0.0/16
        auto=add

moon网关的配置文件:ikev2/double-nat-net/hosts/moon/etc/ipsec.conf,内容如下,基本内容与alice主机相同。但是right字段的值为%any,表明接收任何主机发来的连接,此配置不能主动发起连接,需要等待carol的连接请求。需要注意的是此处指定了dpdaction的值为clear,即dpd检查失败之后,清除连接。字段dpddelay的值为10秒,指定dpd检测间隔。

config setup

conn %default
        ikelifetime=60m
        keylife=20m
        rekeymargin=3m
        keyingtries=1
        keyexchange=ikev2
        dpdaction=clear
        dpddelay=10

conn rw
        left=PH_IP_MOON
        leftcert=moonCert.pem
        leftid=@moon.strongswan.org
        leftsubnet=10.1.0.0/16
        right=%any
        rightid=carol@strongswan.org
        auto=add

测试准备阶段

配置文件:ikev2/dpd-restart/pretest.dat,内容为ipsec连接的启动语句。

moon::ipsec start
carol::ipsec start
moon::expect-connection rw
carol::expect-connection home
carol::ipsec up home

测试阶段

配置文件:ikev2/dpd-restart/evaltest.dat。以下测试语句检查在carol主机和moon网关上隧道建立成功。随后,在moon网关上丢弃所有carol的报文,并在carol主机上丢弃所有moon的所有报文,模拟链路断开的情况。之后,延时13秒(超出dpd配置的10秒间隔),在carol主机的strongswan进程日志中,确认DPD功能生效。

carol::ipsec status 2> /dev/null::home.*INSTALLED, TUNNEL::YES
moon:: ipsec status 2> /dev/null::rw.*INSTALLED, TUNNEL::YES
moon:: iptables -A INPUT -i eth0 -s PH_IP_CAROL -j DROP::no output expected::NO
carol::iptables -A INPUT -i eth0 -s PH_IP_MOON -j DROP::no output expected::NO
carol::sleep 13::no output expected::NO
carol::cat /var/log/daemon.log::sending DPD request::YES
carol::cat /var/log/daemon.log::retransmit.*of request::YES
carol::cat /var/log/daemon.log::giving up after.*retransmits::YES

以下测试语句,删除carol主机和moon网关上丢弃报文的iptables规则,即恢复链路。在carol主机上执行ping主机alice的操作,触发连接的再次建立。

carol::iptables -D INPUT -i eth0 -s PH_IP_MOON -j DROP::no output expected::NO
moon:: iptables -D INPUT -i eth0 -s PH_IP_CAROL -j DROP::no output expected::NO
carol::sleep 2::no output expected::NO
carol::ipsec status 2> /dev/null::home.*INSTALLED, TUNNEL::YES
moon:: ipsec status 2> /dev/null::rw.*INSTALLED, TUNNEL::YES

主机carol上strongswan进程的日志信息如下,在发送了3个DPD报文之后,strongswan开始重新建立home子连接。

carol charon: 07[IKE] sending DPD request
carol charon: 07[ENC] generating INFORMATIONAL request 2 [ ]
carol charon: 07[NET] sending packet: from 192.168.0.100[4500] to 192.168.0.1[4500] (80 bytes)
carol charon: 10[IKE] retransmit 1 of request with message ID 2
carol charon: 10[NET] sending packet: from 192.168.0.100[4500] to 192.168.0.1[4500] (80 bytes)
carol charon: 11[IKE] retransmit 2 of request with message ID 2
carol charon: 11[NET] sending packet: from 192.168.0.100[4500] to 192.168.0.1[4500] (80 bytes)
carol charon: 12[IKE] giving up after 2 retransmits
carol charon: 12[IKE] restarting CHILD_SA home
carol charon: 12[IKE] initiating IKE_SA home[2] to 192.168.0.1
carol charon: 12[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]

如下图所示,moon网关传输了3个INFORMATIONAL报文,MID为0。carol主机也传输了3个INFORMATIONAL报文(重传两次),消息ID为2。此时连接断开,第一个DPD报文在最后一个报文发送10秒之后发出。DPD失效之后,carol主机发送IKE_SA_INIT报文开始重新建立连接。如果在ipsec.conf的配置中指定dpdaction的值为hold,strongswan在dpd失效后,不会主动建立连接,需要数据流的触发。参见测试用例dpd-hold:

在这里插入图片描述

strongswan测试版本: 5.8.1

END

redwingz
关注
专栏目录
IPSec VPN自动断开的问题
pocher的博客
12-18 1956
需要检查下DPD检测有没有开启,如果没有开启超过链接生存周期后就会自动断开,DPD检测相当于Keepalive机制。
SWANikev2协议dpd-clear配置测试
redwingz的博客
11-05 1063
测试主要验证远程用户carol和网关moon建立连接之后,由于链路问题,导致DPD(Dead Peer Detection)检查报文没有响应,删除连接的功能。本次测试拓扑如下: carol主机配置 carol的配置文件:ikev2/dpd-clear/hosts/carol/etc/ipsec.conf,内容如下,keyexchange字段为ikev2,表示采用IKEv2协议。left字段的值...
Strongswan:gcrypt-ikev2/rw-cert测试浅析
hhd1988的专栏
06-22 688
Strongswan:gcrypt-ikev2/rw-cert测试浅析
SWANikev2协议ip-two-pools-mixed配置测试
redwingz的博客
11-11 459
测试主要验证远程用户carol和alice,通过设置ipsec.conf文件中的leftsourceip等于%config,在与网关moon建立连接时,请求获取虚拟IP地址的功能。测试中moon网关定义了两个连接,对应于moon的接口eth0和eth1,分别用于服务carol和alice主机,一个链接使用rightsourceip=%intpool的地址池方式定义;另外一个连接使用简单的网段定义...
SWANikev2协议double-nat配置测试
redwingz的博客
11-05 1165
测试主要验证分别位于NAT网关moon和sun之后的用户alice和bob建立连接的功能。其中由alice发起连接,moon网关执行SNAT变化,sun网关执行DNAT变化,strongswan在此情况下检测到NAT网关的存在,启用NAT-T功能。本次测试拓扑如下: alice主机配置 alice的配置文件:ikev2/double-nat/hosts/alice/etc/ipsec.conf...
SWANikev2协议crl-ldap配置测试
redwingz的博客
11-04 757
测试主要验证远程用户carol和网关moon通过LDAP协议由LDAP服务器获取CRL证书的功能,以及对CRL证书进行缓存的设置。测试开始时网关moon和远程用户carol开启了严格CRL策略,但是缓存在本地目录:/etc/ipsec.d/crls/目录下的CRL证书已经过期,因此需要由LDAP服务器winnetou(IP地址:192.168.0.150)重新获得CRL证书,之后,由于设置了ch...
Swan - New Tab in HD-crx插件
03-17
适用于Chrome的高清版20个迷人的天鹅图像新标签页。 天鹅是天鹅属中的An科的鸟类。 天鹅的近亲包括鹅和鸭。 在Chrome的新标签页上享受高清质量的天鹅图像和其他出色的功能。 Extenson功能:一系列您喜欢的主题的高...
SWAN-INCOIS-Proposal-v3-compressed (1).docx_swan_incois_weather_
09-30
weather monitoring station for use on board a ship
Swan Castle Themes & New Tab-crx插件
03-18
每次安装应用程序后,您将打开一个新标签页,您将看到此应用程序Swan Castle新标签页新标签页。天鹅城堡壁纸画廊到您的chrome和chrome os新标签页。安装扩展程序后,您每次都会有一个新的天鹅城堡。我们的目标是为...
swan-10-03-12.tar.gz_OpencL_opencl cuda_swan
09-21
本文将重点讨论标题为"swan-10-03-12.tar.gz_OpencL_opencl cuda_swan"的压缩包中的Swan工具,这是一个辅助从CUDA到OpenCL移植的实用程序。 Swan的设计目标是为了简化开发人员的工作,帮助他们将原本基于CUDA的代码...
VScode-settings配置文件-插件目录-个人常用配置导出
JackieDYH的博客
09-08 1853
VScode-settings配置文件-插件目录-个人常用配置导出。
SWANikev2协议dpd-hold配置测试
redwingz的博客
11-05 1398
测试主要验证远程用户carol和网关moon建立连接之后,由于链路问题,导致DPD(Dead Peer Detection)检测报文没有响应,之后链路恢复,重新建立连接的功能。本次测试拓扑如下: carol主机配置 carol的配置文件:ikev2/dpd-hold/hosts/carol/etc/ipsec.conf,内容如下,keyexchange字段为ikev2,表示采用IKEv2协议。...
strongSwan:ipsec.conf – IPsec 的配置和连接
hhd1988的专栏
05-18 5490
配置文件描述 可选的ipsec.conf文件指定了strongSwan IPsec子系统的大多数配置和控制信息。 主要的例外是身份验证的机密;见ipsec.secrets(5)。其内容不是安全敏感的。 该文件是一个文本文件,由一个或多个部分组成。空格后跟“#”后跟任何到行末尾是注释,而被忽略,空行不包含在部分内。 包含include和文件名的行(由空格分隔)将替换为该文件的内容。 如果文件名不是完整路径名,则认为它与包含包含文件的目录相关。 这种包含可以嵌套。 可能只提供一个文件名,它可能不包含空格,
IBM Cloud 经典网络到VPC迁移—内网连通方案
I艺术人生T的专栏
12-22 579
最近正在做IBM Cloud 经典网络到VPC的迁移方案设计,其中最重要的是网络直接的连通,老客户在IBM Cloud 经典网络的部署如果是部署在IBM的9大Region中,那连通的方式可以用到IBM Cloud上的Transit Gateway。但通常客户都是在30多个单节点的数据中心,例如达拉斯05、香港、新加坡、阿姆斯特等等。目前Transit Gateway还只是覆盖了4个单节点数据中心,所以极大部分数据中心无法跟VPC环境连通,目前可行的方式就是通过Site to Site VPN以及方式来打通经
strongswan的ipsec.conf 配置解析
最新发布
pocher的博客
12-18 979
`rightsubnet=11.252.0.0/16`:远程子网为11.252.0.0/16,表示只有与该子网相关的流量才通过VPN。`leftauth=psk`和`rightauth=psk`指定了本地端和远程端使用预共享密钥进行身份验证。- `dpdaction=clear`:如果DPD失败,清除相关的SA和SPD条目。- `closeaction=clear`:连接关闭时清除相关的SA和SPD条目。- `ikelifetime=28800s`:IKE SA的生存期。
教程篇(7.0) 05. FortiGate基础架构 & IPsec安全隧道 ❀ Fortinet 网络安全专家 NSE 4
防火墙技术专栏
03-09 4362
在本节课中你将了解IPsec的架构组件以及如何配置它们。通过展示IPsec基础知识的能力,你将能够理解IPsec的概念和好处。
锐捷网络—VPN功能—IPSec VPN 常见问题和故障
君逍遥o
09-13 3642
IPSec (IP Security )是一种由IETF设计的端到端的确保IP层通信安全的机制。 IPSec协议可以为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击。 IPSec不是一个单独的协议,而是一组协议,IPSec协议的定义文件包括了12个RFC文件和几十个Internet草案,已经成为工业标准的网络安全协议
IPsec DPD检测报文
qq_47529104的博客
05-01 2285
可以看见DPD报文有MID作为序号来标识一对请求与应答,同时它的类型也被设置未Informational,翻译过来就是信息类的报文。报文内部并没有很多的相关信息,有的只有几个简单的标识以及MID用来标识当前的回复状态以及当前的报文是请求报文还是回复报文。 ...
Failed to connect to cq-bbjf-swan-32-1:41834
04-01
"cq-bbjf-swan-32-1:41834" appears to be a server or device name and port number. The issue could be due to a variety of reasons such as network connectivity issues, incorrect credentials, or the ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值