两个IPSec子连接共用XFRM虚拟接口

最新推荐文章于 2023-12-20 16:22:23 发布
最新推荐文章于 2023-12-20 16:22:23 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: IPSecurity 隧道XFRM 文章标签: xfrm strongswan
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_20184565/article/details/103305193
版权

以下根据strongswan代码中的testing/tests/route-based/net2net-xfrmi-ike/中的测试环境,来看一下两个IPSec子连接共用一个XFRM虚拟接口的情况。拓扑结构如下:

在这里插入图片描述

拓扑图中使用到的设备包括:虚拟网关moon和sun。

sun网关配置

sun的配置文件:/etc/swanctl/swanctl.conf,内容如下。注意其中的net-net子连接配置,if_id_in和if_id_out,都指定了特殊值%unique-dir。

connections {

   gw-gw {
      local_addrs  = PH_IP_SUN
      remote_addrs = PH_IP_MOON

      if_id_in = %unique-dir
      if_id_out = %unique-dir

      children {
         net-net {
            local_ts  = 10.2.0.0/16
            remote_ts = 10.1.0.0/16

            esp_proposals = aes128gcm128-x25519
         }

updown脚本的指定放到了sun网关的/etc/strongswan.conf文件中,如下所示,使用start-scripts开头的段,updown脚本指定为python文件:/etc/updown.py。

# /etc/strongswan.conf - strongSwan configuration file

swanctl {
  load = pem pkcs1 x509 revocation constraints pubkey openssl random
}

charon-systemd {
  load = random nonce aes sha1 sha2 pem pkcs1 curve25519 gmp x509 curl revocation hmac vici kernel-netlink socket-default
  start-scripts {
    updown = /usr/bin/python /etc/updown.py
  }
}

由于在swanctl.conf文件中,XFRM接口ID指定为特殊值%unique-dir,将使用脚本文件:/etc/updown.py,创建两个xfrm虚拟接口(每个方向单独一个接口),和添加路由信息。

moon网关配置

moon网关的配置文件:/etc/swanctl/swanctl.conf,内容如下。注意其中的gw-gw连接配置,if_id_out和if_id_in分别指定了值1337和42。与以上sun网关的特殊值(%unique)配置不同,故moon网关也无需特殊的updown脚本文件,以下将为其手动创建XFRM虚拟接口。

这里为主机alice和venus分别配置了不同的子连接alice-net和venus-net,二者的区别在于流量选择器的本地地址不同,alice的local_ts值为其eth0接口的地址10.1.0.10/32;而venus的local_ts值为其eth0接口的地址10.1.0.20。对比以上的sun网关的配置,其流量选择器的远端地址指定的为网段10.1.0.0/16,包括了alice和venus主机。

connections {

   gw-gw {
      local_addrs  = PH_IP_MOON
      remote_addrs = PH_IP_SUN

      if_id_out = 1337
      if_id_in = 42

      children {
         alice-net {
            local_ts  = 10.1.0.10/32
            remote_ts = 0.0.0.0/0

            esp_proposals = aes128gcm128-x25519
         }
         venus-net : connections.gw-gw.children.alice-net {
            local_ts  = 10.1.0.20/32
         }
      }

连接建立流程

操作流程如下,由于在moon网关上明确配置了if_id_in和if_id_out值,此处为其创建相应ID值的xfrm虚拟接口,这里创建两个XFRM接口,见如下的xfrmi命令。对于sun主机由于指定的为特殊值(%unique-dir),交由strongswan进程调用updown脚本去创建xfrm接口。

随后,在moon网关上配置到sun网关背后网络(10.2.0.0/16)的路由,经由刚创建的xfrm-moon-out设备。以及配置iptables允许转发规则。

moon::/usr/local/libexec/ipsec/xfrmi -n xfrm-moon-out -d eth0 -i 1337
moon::/usr/local/libexec/ipsec/xfrmi -n xfrm-moon-in  -d eth0 -i 42
moon::ip link set xfrm-moon-out up
moon::ip link set xfrm-moon-in up
moon::ip route add 10.2.0.0/16 dev xfrm-moon-out
moon::iptables -A FORWARD -o xfrm-moon-out -j ACCEPT
moon::iptables -A FORWARD -i xfrm-moon-in -j ACCEPT

最后在两个虚拟网关sun和moon上启动strongswan进程,以及在moon网关上启动名称为alice-net和venus-net的两个子连接。

moon::systemctl start strongswan
sun::systemctl start strongswan
moon::expect-connection gw-gw
sun::expect-connection gw-gw
moon::swanctl --initiate --child alice-net
moon::swanctl --initiate --child venus-net

以上的xfrmi命令在moon网关上创建虚拟的XFRM接口:xfrm-moon,指定ID值(xfrm_id)为42,其底层物理接口为eth0。可使用xfrmi -list命令进行查看。

moon:~# /usr/local/libexec/ipsec/xfrmi -list
19: xfrm-moon-out    dev eth0     if_id 0x00000539 [1337]
20: xfrm-moon-in     dev eth0     if_id 0x0000002a [42]
No leaks detected, 2 suppressed by whitelist
moon:~#

使用ip route命令查看为xfrm-moon虚拟接口添加的路由信息,目的网段10.2.0.0/16(bob主机所在网段)的流量路由到xfrm-moon-out接口。alice和venus到bob的流量都经由此条路由转发。

moon:~# ip route
default via 192.168.0.254 dev eth0 onlink 
10.1.0.0/16 dev eth1 proto kernel scope link src 10.1.0.1 
10.2.0.0/16 dev xfrm-moon-out scope link 
192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.1

以下配置的iptables规则,允许转发出接口为xfrm-moon-out虚拟接口的所有流量,并且允许入接口为xfrm-moon-in接口的所有流量。

moon:~# iptables -L -n -v

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    2   168 ACCEPT     all  --  *      xfrm-moon-out  0.0.0.0/0            0.0.0.0/0           
    2   168 ACCEPT     all  --  xfrm-moon-in *       0.0.0.0/0            0.0.0.0/0

以下为moon网关发起两个子连接alice-net和venus-net时,sun网关上strongswan的与xfrm有关的日志信息。其创建了XFRM虚拟接口xfrm-1-in和xfrm-2-out,并且在CHILD_SA net-net{1}子连接,即alice-net建立之后,添加了目的地址为alice的路由信息,经由xfrm接口xfrm-2-out(10.1.0.10/32 via xfrm-2-out)。

同样的,在子连接net-net{2},即venus-net建立之后,添加了目的地址为venus的路由信息,经由相同的xfrm接口xfrm-2-out(10.1.0.20/32 via xfrm-2-out)。

sun charon-systemd: 16[IKE] IKE_SA gw-gw[1] established between 192.168.0.2[sun.strongswan.org]...192.168.0.1[moon.strongswan.org]
sun charon-systemd: 16[IKE] scheduling rekeying in 14194s
sun charon-systemd: 16[IKE] maximum IKE_SA lifetime 15634s
sun charon-updown: add XFRM interfaces xfrm-1-in and xfrm-2-out

sun charon-systemd: 16[IKE] CHILD_SA net-net{1} established with SPIs c876589b_i c0c3035e_o and TS 10.2.0.0/16 === 10.1.0.10/32
sun charon-systemd: 16[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_6_ADDR) N(ADD_6_ADDR) ]

sun charon-systemd: 10[KNL] interface xfrm-2-out activated
sun charon-systemd: 14[KNL] fe80::ac8:4988:e268:8df1 appeared on xfrm-2-out
sun charon-systemd: 06[KNL] interface xfrm-1-in activated
sun charon-systemd: 11[KNL] fe80::42cd:911c:6523:525c appeared on xfrm-1-in
sun charon-updown: add route to 10.1.0.10/32 via xfrm-2-out

sun charon-systemd: 12[NET] received packet: from 192.168.0.1[4500] to 192.168.0.2[4500] (240 bytes)
sun charon-systemd: 12[ENC] parsed CREATE_CHILD_SA request 2 [ SA No KE TSi TSr ]
sun charon-systemd: 12[IKE] CHILD_SA net-net{2} established with SPIs c8c88069_i cee80954_o and TS 10.2.0.0/16 === 10.1.0.20/32
sun charon-updown: add route to 10.1.0.20/32 via xfrm-2-out

sun charon-systemd: 12[ENC] generating CREATE_CHILD_SA response 2 [ SA No KE TSi TSr ]

是由ip route命令可在sun网关上查看以上添加的路由信息:

sun:~# ip route
default via 192.168.0.254 dev eth0 onlink 
10.1.0.10 dev xfrm-2-out scope link 
10.1.0.20 dev xfrm-2-out scope link 
10.2.0.0/16 dev eth1 proto kernel scope link src 10.2.0.1 
192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.2 
sun:~#

安全策略和关联

在moon网关上使用swanctl工具查看安全关联信息,可见不论是gw-gw连接,还是子连接alice-net-1或者venus-net-2其if-id-in和if-id-out的值都是相同的,钳制为0x2a(42),后者为0x539(1337)。

moon:~# swanctl --list-sas --raw
list-sa event {gw-gw {uniqueid=1 version=2 state=ESTABLISHED local-host=192.168.0.1 local-port=4500 local-id=moon.strongswan.org remote-host=192.168.0.2 remote-port=4500 remote-id=sun.strongswan.org initiator=yes initiator-spi=e32403acf2945801 responder-spi=d3b6279619fecac3 
if-id-in=0000002a if-id-out=00000539 encr-alg=AES_CBC encr-keysize=128 integ-alg=HMAC_SHA2_256_128 prf-alg=PRF_HMAC_SHA2_256 dh-group=CURVE_25519 established=1692 rekey-time=12375 child-sas 
{alice-net-1 {name=alice-net uniqueid=1 reqid=1 state=INSTALLED mode=TUNNEL protocol=ESP spi-in=c9d78e33 spi-out=ccd9eb0c 
if-id-in=0000002a if-id-out=00000539 encr-alg=AES_GCM_16 encr-keysize=128 bytes-in=84 packets-in=1 use-in=1692 bytes-out=84 packets-out=1 use-out=1692 rekey-time=1736 life-time=2268 install-time=1692 local-ts=[10.1.0.10/32] remote-ts=[10.2.0.0/16]} 
venus-net-2 {name=venus-net uniqueid=2 reqid=2 state=INSTALLED mode=TUNNEL protocol=ESP spi-in=c5a4e4fe spi-out=ca6b4887 
if-id-in=0000002a if-id-out=00000539 encr-alg=AES_GCM_16 encr-keysize=128 dh-group=CURVE_25519 bytes-in=84 packets-in=1 use-in=1692 bytes-out=84 packets-out=1 use-out=1692 rekey-time=1587 life-time=2268 install-time=1692 local-ts=[10.1.0.20/32] remote-ts=[10.2.0.0/16]}}}}
list-sas reply {}
No leaks detected, 1442 suppressed by whitelist
moon:~#

strongswan版本: 5.8.1
内核版本: 5.0

END

redwingz
关注
专栏目录
XFRM -- ipsec协议的内核实现框架
01-24 3587
目录 1 Overview 1.1 XFRM 实例 1.2 Netlink 通道 1.3 XFRM State 1.3 XFRM Policy 2 接收发送IPsec报文 2.1 接收 2.2 发送 IPsec协议帮助IP层建立安全可信的数据包传输通道。当前已经有了如StrongSwan、OpenSwan等比较成熟的解决方案,而它们都使用了Linux内核中的XFRM框架进行报文接收发送。 XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才
linux内核实现ipsec,IP XFRM配置示例:利用linux kernel自带的IPSec实现,手动配置IPSec...
weixin_39559277的博客
04-29 1699
1、拓扑192.168.18.101 <=======> 192.168.18.1022、配置192.168.18.101ip xfrm state add src 192.168.18.101 dst 192.168.18.102 proto esp spi 0x00000301 mode tunnel auth md5 0x96358c90783bbfa3d7b196ceabe05...
自动创建XFRM虚拟接口的net2net形式的IPSEC
redwingz的博客
11-22 956
以下根据strongswan代码中的testing/tests/route-based/net2net-xfrmi/中的测试环境,来看一下基于路由和XFRM接口的安全连接。在配置中sun网关使用特殊值%unique-dir自动为in/out两个方向创建不同ID值的xfrm虚拟设备;而moon网关仍然使用在swanctl.conf文件中手动指定xfrm接口ID值,并且手动创建XFRM接口的方法。su...
XFRM -- IPsec协议的内核实现框架
品学楼A107
09-30 3382
IPsec协议帮助IP层建立安全可信的数据包传输通道。当前已经有了如StrongSwan、OpenSwan等比较成熟的解决方案,而它们都使用了Linux内核中的XFRM框架进行报文接收发送。 XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才能还原为原始报文;同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。 Overview X...
XFRM--IPsec协议的内核实现框架
最新发布
maimang1001的专栏
12-20 530
IPsec两个重要的概念:安全关联(Security Association)和安全策略(Security Policy)。这两种类型的信息都需要储存在内核的XFRM(Transform)中。核心XFRM使用netns_xfrm结构来组织这些信息,也被称为xfrm实例( instance)(例)。从名称可以看出,该实例与网络命名空间(network namespace)相关,每个命名空间都有一个彼此独立的实例。所以同一主机上的不同容器可以在没有干扰的情况下使用XFRM。struct net。
网络命名空间之间移动XFRM虚拟设备
redwingz的博客
12-02 852
以下根据strongswan代码中的testing/tests/route-based/net2net-xfrmi-netns/中的测试环境,来看一下基于路由和XFRM接口实现的安全连接,以及在两个网络命名空间之间移动XFRM虚拟接口的情况。内核允许XFRM接口的移动,可使得一个命名空间中的strongswan进程为另外一个命名空间中的应用提供安全加密服务,而后者并不需要进行IKE相关协商。拓扑结...
Linux 内核IPSecxfrm)协议栈源码分析
06-21
SA(Security Association)是IPSec的核心概念,代表了两个通信端点间的安全策略。XFRM_STATE结构存储了SA的所有相关信息,包括加密算法、密钥、序列号等。 2.2 协议类型结构(XFRM_TYPE) XFRM_TYPE定义了IPSec的...
linux ipsec内核,XFRM -- IPsec协议的内核实现框架
weixin_39688019的博客
04-29 972
IPsec协议帮助IP层建立安全可信的数据包传输通道。当前已经有了如StrongSwan、OpenSwan等比较成熟的解决方案,而它们都使用了Linux内核中的XFRM框架进行报文接收发送。XFRM的正确读音是transform(转换), 这表示内核协议栈收到的IPsec报文需要经过转换才能还原为原始报文;同样地,要发送的原始报文也需要转换为IPsec报文才能发送出去。OverviewXFRM 实...
配置基于虚拟隧道接口IPSec隧道实验
以为网工见习者
05-23 1063
本案例说明如何配置IPSec隧道保证用户的业务数据在传输过程中的安全。某公司希望对分支与总部之间相互访问的流量进行安全保护。如图1所示,分公司构建了旁挂二层组网直接转发方式的WLAN网络,Router1为公司分支网关,Router2为公司总部网关,分支与总部通过公网建立通信,在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。由于分支较为庞大,有大量需要IPSec保护的数据流,可基于虚拟隧道接口方式建立IPSec隧道,对Tunnel接口下的流量进行保护,不需使用ACL定义待保护的流量特征。
IP xfrm 配置IPSec实例。
lemon181375的博客
12-27 1036
IP xfrm 配置IPSec实例。
ipsec内核实现分析
07-04
linux的ipsec内核实现源码分析,本人的源码阅读笔记,主要讲解了xfrm模块的实现和源码流程,有需要的可以下载参考
XFRM-IPsec内核实现框架
wq897387的专栏
03-20 5069
XFRM是个传输数据包(比如加密载荷payloads)的IP层框架。这个框架被用来实现IPsec协议套件(Security Association Database 和 Security Policy Database)。也可以被用来压缩IP层载荷payload。 IPsec is implemented by the XFRM (pronounced “transform”) framework, originated in the USAGI project, which aimed at pro
Linux内核XFRM -- IPsec协议的实现框架问题研究
mingpeng520的博客
11-02 758
XFRMIPsec协议的内核实现框架 首先网上的两篇文章很好 1.https://blog.csdn.net/chenmo187J3X1/article/details/101794624?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.channel_param&depth_1-utm_source=distribute.pc_relevant.none-task-blog-
走进Linux内核之XFRM框架
北观止的博客
09-21 3108
笔者此前对Linux内核相关模块稍有研究,实现内核级通信加密、视频流加密等。下面开始上才艺,带你走进Linux内核之XFRM框架。
基于路由和XFRM虚拟接口IPSec实现
redwingz的博客
12-02 2710
以下根据strongswan代码中的testing/tests/route-based/rw-shared-xfrmi/中的测试环境,来看一下基于路由和XFRM接口的安全连接。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。 虚拟主机配置 carol的配置文件:/etc/swanctl/swanctl.conf,内容如下。连接home中的字段vips...
Linux内核中的IPSEC实现(7)
weixin_33857679的博客
05-14 387
本文档的Copyleft归yfydz所有,使用GPL发布,可以自由拷贝,转载,转载时请保持文档的完整性,严禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源:http://yfydz.cublog.cn 9. IPSEC封装流程 IPSEC数据包的封装过程是在数据包发出前完成的, 是和路由选择密切相关的, 根据前面的发出分析可知封装是通过对数...
strongswanipsec.conf配置手册
衡水铁头哥的博客
07-09 6705
ipsec.conf是strongSwan的关键配置,文件指定了strongSwan IPsec系统的大部分配置和控制信息。主要的例外是身份验证的密钥,配置保存在ipsec.secrets文件中。
IPSEC_PLUTO(8) - IKE管理接口
Rain
07-24 3632
IPSEC_PLUTO NAME ipsec_pluto - ipsec whack: IKE管理接口 SYNOPSIS ipsec pluto [--help] [--version] [--optionsfrom filename] [--nofork] [--stderrlog] [--use-auto] [--
Linux内核IPSec实现:xfrm模块ESP协议解析
"这篇文章深入解析了Linux内核中IPSec模块xfrm的实现,特别是状态增加或更新在CAN协议中的应用。文章指出,xfrm_state_add()和xfrm_state_update()函数是状态管理的关键,它们在用户态程序添加或更新安全联盟(SA)时...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值