SWAN之ikev2协议host2host-ah配置测试

最新推荐文章于 2022-07-28 13:52:05 发布
最新推荐文章于 2022-07-28 13:52:05 发布
阅读量823 收藏 1
点赞数
分类专栏: IPSecurity 文章标签: strongswan ah
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_20184565/article/details/102942275
版权

本测试主要验证moon与sun主机使用AH协议的传输模式建立连接的场景,使用AES-XCBC算法。本次测试拓扑如下:
在这里插入图片描述

配置

sun的配置文件:ikev2/host2host-ah/hosts/sun/etc/ipsec.conf,内容如下,主要注意是这里的type字段值transport,指定使用传输模式。ah字段表明AH协议封装采用AES-XCBC校验算法。

conn %default
        keyexchange=ikev2

conn host-host
        left=PH_IP_SUN
        leftcert=sunCert.pem
        leftid=@sun.strongswan.org
        leftfirewall=yes
        right=PH_IP_MOON
        rightid=@moon.strongswan.org
        type=transport
        ah=aesxcbc
        auto=add

sun的配置文件:ikev2/host2host-ah/hosts/sun/etc/strongswan.conf,内容如下,字段multiple_authentication等于no,禁用RFC 4739定义的多认证模式。

charon {
  load = random nonce aes sha1 sha2 pem pkcs1 curve25519 gmp x509 curl revocation hmac stroke kernel-netlink socket-default updown
  multiple_authentication = no
}

moon的配置文件:ikev2/host2host-ah/hosts/moon/etc/ipsec.conf,内容如下,与sun配置基本相同。

conn %default
        keyexchange=ikev2

conn host-host
        left=PH_IP_MOON
        leftcert=moonCert.pem
        leftid=@moon.strongswan.org
        leftfirewall=yes
        right=PH_IP_SUN
        rightid=@sun.strongswan.org
        type=transport
        ah=aesxcbc
        auto=add

测试准备阶段

配置文件:ikev2/host2host-ah/pretest.dat,内容为通常的ipsec连接的启动语句。

测试阶段

配置文件:ikev2/host2host-ah/evaltest.dat内容如下。首先确认moon主机和sun主机连接(host-host)是否建立以及表示传输模式的TRANSPORT关键字。之后,在主机moon上使用ping命令测试到sun主机的连通性。

moon::ipsec status 2> /dev/null::host-host.*INSTALLED, TRANSPORT::YES
sun:: ipsec status 2> /dev/null::host-host.*INSTALLED, TRANSPORT::YES
moon::ping -c 1 PH_IP_SUN::64 bytes from PH_IP_SUN: icmp_.eq=1::YES
sun::tcpdump::IP moon.strongswan.org > sun.strongswan.org: AH::YES
sun::tcpdump::IP sun.strongswan.org > moon.strongswan.org: AH::YES

以下为moon主机上ipsec status命令的输出结果,可见匹配字符串“INSTALLED, TRANSPORT”,子连接host-host{1}使用AES_XCBC_96校验算法。

Connections:
   host-host:  192.168.0.1...192.168.0.2  IKEv2
   host-host:   local:  [moon.strongswan.org] uses public key authentication
   host-host:    cert:  "C=CH, O=strongSwan Project, CN=moon.strongswan.org"
   host-host:   remote: [sun.strongswan.org] uses public key authentication
   host-host:   child:  dynamic === dynamic TRANSPORT
Security Associations (1 up, 0 connecting):
   host-host[1]: ESTABLISHED 0 seconds ago, 192.168.0.1[moon.strongswan.org]...192.168.0.2[sun.strongswan.org]
   host-host[1]: IKEv2 SPIs: 791d46bf9115e20f_i* 89a6562649552b85_r, public key reauthentication in 2 hours
   host-host[1]: IKE proposal: AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/CURVE_25519
   host-host{1}:  INSTALLED, TRANSPORT, reqid 1, AH SPIs: ca502c63_i c2b92a13_o
   host-host{1}:  AES_XCBC_96, 64 bytes_i (1 pkt, 0s ago), 64 bytes_o (1 pkt, 0s ago), rekeying in 47 minutes
   host-host{1}:   192.168.0.1/32 === 192.168.0.2/32

以下为moon主机发送的ping请求报文,可见AH报头,以及其中的发送方向SPI: c2b92a13。
在这里插入图片描述

strongswan测试版本: 5.8.1

END

redwingz
关注
专栏目录
VScode-settings配置文件-插件目录-个人常用配置导出
JackieDYH的博客
09-08 1853
VScode-settings配置文件-插件目录-个人常用配置导出。
strongswan ipsec环境搭建及swanctl.conf配置含ca证书配置(tunnel模式,ah封装,rsa认证)
weixin_43190642的博客
12-24 8058
vm1:192.168.182.144 host1:192.168.182.254 9.94.189.225 host2:9.94.189.226 192.168.152.254 vm2:192.168.152.132 环境如图所示,两台物理机充当网关,分别启动一台虚拟机组成局域网。 一、虚拟机启动 使用qume脚本启动,关键信息: -enable-kvm -display none -cpu host -smp 4 -m 4096 -kernel KaTeX p
SWANikev2协议host2host-cert配置测试
redwingz的博客
11-06 399
测试主要验证moon与sun主机基于X.509证书认证的连接场景,本次测试拓扑如下: 配置 sun的配置文件:ikev2/host2host-cert/hosts/sun/etc/ipsec.conf,内容如下,无特殊配置。 conn host-host left=PH_IP_SUN leftcert=sunCert.pem leftid=@su...
SWANikev2协议host2host-swapped配置测试
redwingz的博客
11-06 345
测试主要验证moon与sun主机基于X.509证书认证的连接场景,在配置文件ipsec.conf中使用right相关关键字表示本地配置,而使用left表示对端的配置,已测试strongswan配置选择功能。本次测试拓扑如下: 配置 sun的配置文件:ikev2/host2host-swapped/hosts/sun/etc/ipsec.conf,内容如下,无特殊配置。 conn host-h...
SWANikev2协议host2host-transport-connmark配置测试
redwingz的博客
11-07 526
测试在NAT网关moon背后的两台主机alice和venus上发起到外部sun网关的安全连接,使用传输模式。sun网关使用connmark插件和netfilter标记mark来区分两个安全连接,以便可与NAT网关之后的两个主机通信。本次测试拓扑如下: 测试配置 alice的配置文件:ikev2/host2host-transport-connmark/hosts/alice/etc/ipsec...
SWANikev2协议host2host-transport-nat配置测试
redwingz的博客
11-07 694
测试主要说明在NAT网关moon之后的两个VPN客户端(alice和venus)使用传输模式连接外部VPN网关(sun)时的问题。由于sun网关上的安全策略冲突,导致后者的连接将替换前者的连接。另外,当alice建立连接之后,如果venus不进行连接的建立,而执行ping网关sun的操作,将没有回复,原因是此报文匹配sun网关的加密策略(alice所建立),但是报文并没有加密,被丢弃(文件/pr...
SWANikev2协议compress配置测试
redwingz的博客
10-31 611
测试主要验证远程用户carol和moon网关之间的IPComp压缩功能,两次使用ping测试隧道连接的压缩与否,使用的报文长度不同,内核不压缩长度较小的报文。测试拓扑如下: 主机配置 carol的连接配置文件:ikev2/compress/hosts/carol/etc/ipsec.conf,内容如下,主要关注compress字段设置为yes,这真是本次测试的压缩功能。另外moon主机的配置于...
swan-team#host-app-guide#账号1
07-25
1.1. 文档版本 1.2. 功能说明 1.3. 开发指南 1.3.1. 协议 1.3.2. 接口列表 1.3.3. 示例 1.1. 文档版本 1.2. 功能说
swan-10-03-12.tar.gz_OpencL_opencl cuda_swan
09-21
本文将重点讨论标题为"swan-10-03-12.tar.gz_OpencL_opencl cuda_swan"的压缩包中的Swan工具,这是一个辅助从CUDA到OpenCL移植的实用程序。 Swan的设计目标是为了简化开发人员的工作,帮助他们将原本基于CUDA的代码...
SWAN-time.bin
最新发布
09-05
SWAN-time.bin
SWAN-INCOIS-Proposal-v3-compressed (1).docx_swan_incois_weather_
09-30
weather monitoring station for use on board a ship
SWAN之ha/active-passive测试
redwingz的博客
10-30 921
测试中网关alice与网关moon开启HA功能,组成CLUSTER,对外提供一个服务IP地址。两者之间的同步数据使用IPsec的传输模式进行保护。测试过程中alice首先处于active状态,moon处于passive状态,远程主机carol和dave建立到cluster网关(mars)的安全连接,连接成功建立之后,在主机carol和dave上ping网关之后的venus主机,以验证连通性。 之...
StrongSwan安装部署、配置使用方法总结
热门推荐
sway913的博客
05-07 2万+
StrongSwan官网:https://www.strongswan.org/ 下载地址:https://www.strongswan.org/download.html 一、StrongSwan安装 1.编译安装 1.我习惯创建/opt/package目录,用于存放下载的程序包文件 [root@ecs-e84a package]# mkdir -p /opt/package...
strongswan之ipsec.conf配置手册
衡水铁头哥的博客
07-09 6713
ipsec.conf是strongSwan的关键配置,文件指定了strongSwan IPsec子系统的大部分配置和控制信息。主要的例外是身份验证的密钥,配置保存在ipsec.secrets文件中。
轻松搭建strongswan(免证书)
B★R★S的博客
07-12 1592
基于 StrongSwan 和 xl2tpd,轻松实现VPN搭建的脚本,很好用: Github脚本地址 执行脚本后只需要修改iptables和内网转发配置: 以Debian为例: 配置iptables vim/etc/iptables-strongswan *nat :PREROUTING ACCEPT [152:9504] :INPUT ACCEPT [8:386] :OUTPUT ACCEPT [57:4191] :POSTROUTING ACCEPT [57:4191] -A P..
strongswan编译、配置
weixin_42548573的博客
06-23 4825
想知道怎么配置StrongSwan,首先要知道自己想搭建一个什么样的场景 在StrongSwan的官网上,我们可以在左侧找到TestScenarios,这里有许多场景,我们需要决定我们到底要再现哪一个。 进去之后点开strongSWan test suits: ...
Linux配置strongSwan
衡水铁头哥的博客
07-28 6403
strongSwan是一个开源的基于IPsec的VPN解决方案,最近要用到strongSwan来对接其他系统的IPsec,不能贸然行动,先在Linux环境下测试一下相同环境下如何配置
strongswan 配置过程与问题
琪花亿草
04-24 2万+
一 过程参考:https://blog.csdn.net/gaojinshan/article/details/508205131.1 生成证书1)生成CA的密钥和证书:ipsec pki --gen --outform pem > caKey.pem ipsec pki --self --outform pem --in caKey.pem --dn "C=CN, O=TJ, CN=Tes...
strongswan与sangfor的ikev2配置
zdl244的博客
07-03 1301
strongswan与sangfor的ikev2配置 ikev1参考:https://blog.csdn.net/zdl244/article/details/103163256 [root@moc ~]# yum install epel-release -y [root@moc ~]# yum install strongswan -y [root@moc ~]# cat /etc/strongswan/ipsec.conf config setup # strictcrlpolicy=
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值