本测试主要验证远程用户carol与网关moon建立连接时,通过在ipsec.conf文件中设置esp=3des-md5_128!,而采用ESP套件:DES_CBC / HMAC_MD5_128的过程。本次测试拓扑如下:
carol主机配置
carol的配置文件:ikev2/esp-alg-md5-128/hosts/carol/etc/ipsec.conf,内容如下,IKE使用3des-md5-modp1024加密套件。ESP使用3des-md5_128套件,不进行DH协商。
config setup
conn %default
ike=3des-md5-modp1024!
esp=3des-md5_128!
conn home
left=PH_IP_CAROL
leftfirewall=yes
leftcert=carolCert.pem
leftid=carol@strongswan.org
right=PH_IP_MOON
rightsubnet=10.1.0.0/16
rightid=@moon.strongswan.org
auto=add
网关moon的配置文件:ikev2/esp-alg-md5-128/hosts/moon/etc/ipsec.conf以及strongswan.conf配置文件,内容与以上carol主机的配置类似,不在列出。
测试准备阶段
配置文件:ikev2/esp-alg-md5-128/pretest.dat,内容为通常的ipsec连接的启动语句。
测试阶段
配置文件:ikev2/esp-alg-md5-128/evaltest.dat内容如下。在确认moon网关和carol主机上连接建立之后,主机carol执行ping主机alice的命令,测试连通性,测试数据使用字符串deadbeef,在之后的tcpdump抓包中将在此看到此内容。
carol::ping -c 1 -s 120 -p deadbeef PH_IP_ALICE::128 bytes from PH_IP_ALICE: icmp_.eq=1::YES
moon:: ipsec statusall 2> /dev/null::3DES_CBC/HMAC_MD5_128::YES
carol::ipsec statusall 2> /dev/null::3DES_CBC/HMAC_MD5_128::YES
moon:: ip xfrm state::auth-trunc hmac(md5)::YES
carol::ip xfrm state::auth-trunc hmac(md5)::YES
在moon网关和carol主机上查看ipsec statusall和ip xfrm state命令的执行结果,检查strongswan进程和内核中的连接信息。以下为moon网关上ipsec statusall的输出。可见其中的子连接rw{1}中的字符串:3DES_CBC/HMAC_MD5_128。
Connections:
rw: 192.168.0.1...%any IKEv2
rw: local: [moon.strongswan.org] uses public key authentication
rw: cert: "C=CH, O=strongSwan Project, CN=moon.strongswan.org"
rw: remote: uses public key authentication
rw: child: 10.1.0.0/16 === dynamic TUNNEL
Security Associations (1 up, 0 connecting):
rw[1]: ESTABLISHED 1 second ago, 192.168.0.1[moon.strongswan.org]...192.168.0.100[carol@strongswan.org]
rw[1]: IKEv2 SPIs: ef0548c21ad25773_i 1380490623c5f127_r*, public key reauthentication in 54 minutes
rw[1]: IKE proposal: 3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024
rw{1}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: c9d57751_i c9c5959c_o
rw{1}: 3DES_CBC/HMAC_MD5_128, 148 bytes_i (1 pkt, 0s ago), 148 bytes_o (1 pkt, 0s ago), rekeying in 14 minutes
rw{1}: 10.1.0.0/16 === 192.168.0.100/32
以下为ip xfrm state的输出内容。可见认证采用的MD5-128bits,加密使用3DES-192bits。
src 192.168.0.1 dst 192.168.0.100
proto esp spi 0xc9c5959c(3385169308) reqid 1(0x00000001) mode tunnel
replay-window 0 seq 0x00000000 flag af-unspec (0x00100000)
auth-trunc hmac(md5) 0x384c606cc56eacb172cd08faba262551 (128 bits) 128
enc cbc(des3_ede) 0x8528b5ad9e1a06b702f8a62d226c08be70372711d1f8c276 (192 bits)
src 192.168.0.100 dst 192.168.0.1
proto esp spi 0xc9d57751(3386210129) reqid 1(0x00000001) mode tunnel
replay-window 32 seq 0x00000000 flag af-unspec (0x00100000)
auth-trunc hmac(md5) 0xe9bf6b33fd0e203d273d5bc8ddbe354e (128 bits) 128
enc cbc(des3_ede) 0xead74cba486acc5972f2d1aea4fc56c0dcb797e484861ba1 (192 bits)
以下为carol主机和moon网关协商的proposal。
strongswan测试版本: 5.8.1
END