SWAN之ikev2协议dynamic-two-peers配置测试

最新推荐文章于 2022-05-17 10:28:18 发布
最新推荐文章于 2022-05-17 10:28:18 发布
阅读量292 收藏 1
点赞数
分类专栏: IPSecurity 文章标签: strongswan
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_20184565/article/details/102923851
版权

本测试中,carol与dave主机以及moon网关都使用动态IP地址配置,远程用户carol和dave在配置文件中的right字段指定网关的域名。moon网关建立两个连接,分别制定carol和dave的域名,在moon网关的文件/etc/hosts中保存已经过期的carol和dave的域名和IP的对应关系。

实际测试中远程用户carol、dave使用新的IP地址和网关moon建立连接。本次测试拓扑如下:

在这里插入图片描述

carol主机配置

carol的配置文件:ikev2/dynamic-two-peers/hosts/carol/etc/ipsec.conf,内容如下,left字段的值为%any,表示根据网关地址自动选择本地IP地址。right字段指明对端的地址为域名:moon.strongswan.org(moon网关域名)。leftsourceip字段值为%config,将请求网关分配虚拟IP地址。

dave主机的配置文件ipsec.conf与carol基本相同,仅是证书和ID字段修改为dave自身的项。

config setup

conn %default
        ikelifetime=60m
        keylife=20m
        rekeymargin=3m
        keyingtries=1
        keyexchange=ikev2

conn moon 
        left=%any
        leftsourceip=%config
        leftcert=carolCert.pem
        leftid=carol@strongswan.org
        leftfirewall=yes
        right=%moon.strongswan.org
        rightsubnet=10.1.0.0/16
        rightid=@moon.strongswan.org
        auto=add

moon网关的配置文件:ikev2/double-nat-net/hosts/moon/etc/ipsec.conf,内容如下,基本内容与alice主机相同。注意在连接名称为carol的段中,rightsourceip字段的值:PH_IP_CAROL1(10.3.0.1),表示为ID值等于rightid(carol@strongswan.org)的连接分配虚拟IP地址:10.3.0.1。类似的在连接名称为dave的段中,为ID等于dave@strongswan.org的连接分配IP地址:PH_IP_DAVE1(10.3.0.2)。

config setup

conn %default
        left=%any
        leftsubnet=10.1.0.0/16
        leftcert=moonCert.pem
        leftid=@moon.strongswan.org
        leftfirewall=yes

conn carol
        right=%carol.strongswan.org
        rightid=carol@strongswan.org
        rightsourceip=PH_IP_CAROL1
        auto=add

conn dave
        right=%dave.strongswan.org
        rightid=dave@strongswan.org
        rightsourceip=PH_IP_DAVE1
        auto=add

域名解析

如下为moon网关的测试用hosts文件,其中配置了域名carol.strongswan.org的IP地址为:192.168.0.110。域名dave.strongswan.org的IP地址为:192.168.0.220。但是在以下的测试中carol和dave使用的IP地址分别为192.168.0.100和192.168.0.200,表明域名对应的IP地址发送变化,但是网关moon允许成功建立连接。

$ cat ikev2/dynamic-two-peers/hosts/moon/etc/hosts.stale 
192.168.0.110   carol.strongswan.org    carol
192.168.0.220   dave.strongswan.org     dave

测试准备阶段

配置文件:ikev2/dynamic-two-peers/pretest.dat,内容为ipsec连接的启动语句。另外,将moon网关的hosts文件替换为测试用的包含过期域名IP地址的文件hosts.stale。

moon::mv /etc/hosts /etc/hosts.ori
moon::mv /etc/hosts.stale /etc/hosts

测试阶段

配置文件:ikev2/dynamic-two-peers/evaltest.dat。以下测试语句检查在carol/dave主机和moon网关上隧道是否建立成功。之后,在主机carol和dave上执行ping主机alice的测试命令。

carol::ipsec status 2> /dev/null::moon.*INSTALLED, TUNNEL::YES
dave:: ipsec status 2> /dev/null::moon.*INSTALLED, TUNNEL::YES
moon:: ipsec status 2> /dev/null::carol.*INSTALLED, TUNNEL::YES
moon:: ipsec status 2> /dev/null::dave.*INSTALLED, TUNNEL::YES
carol::ping -c 1 PH_IP_ALICE::64 bytes from PH_IP_ALICE: icmp_.eq=1::YES
dave:: ping -c 1 PH_IP_ALICE::64 bytes from PH_IP_ALICE: icmp_.eq=1::YES

以下为网关moon上抓取的所有交互报文。

在这里插入图片描述

strongswan测试版本: 5.8.1

END

redwingz
关注
专栏目录
浅谈IPsec、IKE和IKEv2的基本原理
网络技术联盟站
07-30 3382
使用PFS特性后,IKE第二阶段协商过程中会增加一次DH交换,使得IKE SA的密钥和IPsec SA的密钥之间没有派生关系,即使IKE SA的其中一个密钥被破解,也不会影响它协商出的其它密钥的安全性。由于IPsec的密钥交换机制仅适用于两点之间的通信保护,在广播网络一对多的情形下,IPsec无法实现自动交换密钥,同样,由于广播网络一对多的特性,要求各设备对于接收、发送的报文均使用相同的SA参数(相同的SPI及密钥),因此该方式下必须手工配置用来保护IPv6路由协议报文的IPsec SA。
IPSec IKEv1&IKEv2
weixin_51045259的博客
02-04 3525
IKE简介 IKE概述 因特网密钥交换IKE(Internet Key Exchange)协议建立在Internet安全联盟和密钥管理协议ISAKMP定义的框架上,是基于UDP(User Datagram Protocol)的应用层协议。它为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务,能够简化IPSec的配置和维护工作。 IKE与IPSec的关系如图1所示,对等体之间建立一个IKE SA完成身份验证和密钥信息交换后,在IKE SA的保护下,根据配置的AH/ESP安全协议等参数协商出一对IPS
SWANikev2协议dhcp-dynamic配置测试
redwingz的博客
11-04 579
测试主要验证网关moon通过DHCP协议由服务器获取地址,并分配给远程客户端carol和dave的功能,以及moon网关上farp插件的arp代理功能。DHCP服务器为主机venus(10.1.0.20),其IP池的范围是:10.1.0.50到10.1.0.60。本次测试拓扑如下: carol主机配置 carol的配置文件:ikev2/dhcp-dynamic/hosts/carol/etc/...
IPSec:IKEv2协议详解
hhd1988的专栏
05-17 7908
IKEv2介绍: 定义在RFC4306 ,更新与 RFC 5996. 不兼容IKEv1,IKEv1不支持认证,IKEv2支持认证,EAP。 支持NAT穿越。 IKEv2支持私密性、完整性、源认证。 工作在UDP 的 500 /4500端口。NAT-T用的是UDP4500端口。 IKE的安全机制: 身份认证 确认通信算双方的身份(对等体的IP地址或者名称),包括: 预共享密钥PSK(pre-shared key)认证。 数字签名RSA(rsa-signature)认证。
IPsec:IKEv1和IKEv2区别
hhd1988的专栏
05-12 7683
IPsec:IKEv1和IKEv2区别
SWAN-INCOIS-Proposal-v3-compressed (1).docx_swan_incois_weather_
09-30
weather monitoring station for use on board a ship
Swan - New Tab in HD-crx插件
03-17
适用于Chrome的高清版20个迷人的天鹅图像新标签页。 天鹅是天鹅属中的An科的鸟类。 天鹅的近亲包括鹅和鸭。 在Chrome的新标签页上享受高清质量的天鹅图像和其他出色的功能。 Extenson功能:一系列您喜欢的主题的高...
swan-10-03-12.tar.gz_OpencL_opencl cuda_swan
09-21
本文将重点讨论标题为"swan-10-03-12.tar.gz_OpencL_opencl cuda_swan"的压缩包中的Swan工具,这是一个辅助从CUDA到OpenCL移植的实用程序。 Swan的设计目标是为了简化开发人员的工作,帮助他们将原本基于CUDA的代码...
Swan Castle Themes & New Tab-crx插件
03-18
每次安装应用程序后,您将打开一个新标签页,您将看到此应用程序Swan Castle新标签页新标签页。天鹅城堡壁纸画廊到您的chrome和chrome os新标签页。安装扩展程序后,您每次都会有一个新的天鹅城堡。我们的目标是为...
swan-team#host-app-guide#账号1
07-25
1.1. 文档版本 1.2. 功能说明 1.3. 开发指南 1.3.1. 协议 1.3.2. 接口列表 1.3.3. 示例 1.1. 文档版本 1.2. 功能说
SWANikev2协议dynamic-initiator配置测试
redwingz的博客
11-05 465
测试中,carol主机和moon网关都使用动态IP地址,远程用户carol在配置的right字段指定网关的域名。IKE服务通过DNS查找域名(通过/etc/hosts文件中的项模拟)。这种情况下,IP地址有可能会改变,但是连接主机的ID保持不变。在一个新的连接请求,包含与之前建立的连接相同的ID到达时,可使用新的连接代替之前连接。 实际测试中远程用户carol和网关moon建立连接之后,使用远程...
使用StrongSwan配置IPSec
热门推荐
Xiaowo
03-22 5万+
使用StrongSwanIPSec进行研究,是一种很好的理解IPSec的实践。然而StrongSwan在使用的过程中实在是有太多的坑,网上的教程也多有不完整的地方,几乎没有能彻彻底底说明白每一步的,导致我在使用StrongSwan的过程中各种抓耳挠腮。程序员自然要造福程序员,在这里特将StrongSwan使用中所遇到的完整步骤记录下来,希望有所帮助。准备工作准备工作可不是简单地装个StrongSw
strongSwan配置
Jiajun Zhu
12-03 4265
测试环境使用两台VMware Fusion虚拟机,网络模式为NAT模式,虚拟机主要配置:一个单核CPU、一块网卡、操作系统为CentOS 7 执行dhclient ens33 &后,vm1的ip为192.168.153.128,vm2的ip为192.168.153.130 创建vti vm1: ip tunnel add ipsec1 local 192.168.153.128 remot...
4. 详解 IPSec 配置参数意义
weixin_38387929的博客
06-04 4347
转者注: 此篇转载博文:strongswan配置使用(一);转载者仅限于调整条码编号,和个人理解补充描述;如有不妥之处、请读者阅读原文。 (1) IPSec 配置文件结构说明 ipsec.conf //配置ipsec隧道信息 ipsec.secerts // 密钥配置、设备私钥证书、 配置eap用户名和密码 strongswan.conf // strongswan组件配置 所有.conf文件 所有插件 服务端-实例配置 config s
深信服SSLVXN 第三方 IPSecVXN 使用Strongswan连接阿里云VPC配置
Tao2581 日常小记
06-10 1万+
深信服SSLVPN 提供了 IPSevVPN服务,可以很方便的和第三方设备互通 简历安全内网,此例连接阿里云单台ECS 服务器,也适用于 VPC 场景; 客户端使用 Stronswan 安装比较简单,其他软件原理一样,这里推荐 阿里云官方的 Flexgw Web图形界面,操作简单易上手,效果一样 ; FlexGW github : https://github.com/alibaba/Fle
strongswan与vpp实现ipsec
a363344923的专栏
04-09 7481
文章目录@[toc]1、strongswan+vpp简介strongswan与vpp如何结合已有的开源项目简介作者matfabia作者mestery作者rayshi-102、基于rayshi-10的代码和strongswan最新release5.8.3进行修改下载源码替换文件注意dnssec_status_t的修改修改PUNT read socket path3、编译项目下载依赖编译vpp编译s...
Strongswan — 常用配置说明
烟云的计算
04-05 3052
目录 文章目录目录GRE over IPSec GRE over IPSec GRE over IPSec,首先通过 GRE 对报文进行封装,然后再由 IPSec 对封装后的报文进行加密和传输。协议栈结构如下: 这种做法实现了两个 Peer 之间安全,底层怎么路由,封装 IPsec 都不管。常见的 L2TP,譬如 IP over IP 等等,其实也都是属于这个范畴的。这种做法的缺点是两端需要单独再起一个服务来实现这些封装。 ...
配置StrongSwan支持ios9 ikev2免证书登录
yanzi1225627的专栏
03-25 2万+
ios9上有个ikev1,还有个ikev2,前文虽然支持ikev1,但是不支持ikev2,出于程序员的天性杂家觉得不得劲了。经过一番努力终于搞定了支持ikev2配置方法。本文前提是基于前文使用链接的脚本成功跑通了ikev1. 因为个别vps上可能遇到麻烦,因为路由iptables的问题导致ikev1连不上,所以最好一步一步好。ikev1能连上的情况下,不用担心路由的问题,只需修改/usr/loc
SWANikev2协议ip-pool配置测试
redwingz的博客
11-07 1334
测试主要验证远程用户carol和dave,通过设置ipsec.conf文件中的leftsourceip等于%config,在与网关moon建立连接时,获取虚拟IP地址的功能。moon网关通过rightsourceip字段指定虚拟IP地址池。本次测试拓扑如下: 主机配置 carol的配置文件:ikev2/ip-pool/hosts/carol/etc/ipsec.conf,内容如下,主要注意是这...
Failed to connect to cq-bbjf-swan-32-1:41834
最新发布
04-01
As an AI language model, I do not have enough information to accurately diagnose the issue. However, "Failed to connect" typically means that a connection was attempted but not successfully established. "cq-bbjf-swan-32-1:41834" appears to be a server or device name and port number. The issue could be due to a variety of reasons such as network connectivity issues, incorrect credentials, or the server being down. It is recommended to check the server status, network connection, and ensure that the correct credentials are being used. If the issue persists, contacting the server administrator or technical support may be necessary.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值