Strongswan app 使用IKEv2 EAP 通过 Freeradius EAP认证 连接 Strongswan

最新推荐文章于 2024-12-18 09:33:51 发布
最新推荐文章于 2024-12-18 09:33:51 发布
阅读量5.2k 收藏 6
点赞数 5
分类专栏: 系统与网络 Linux 文章标签: eap
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012836361/article/details/106643809
版权

索引

环境

@Linux

uname -a
Linux szqsm 4.15.0-73-generic #82-Ubuntu SMP Tue Dec 3 00:04:14 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux

@Strongswan

ipsec --version
Linux strongSwan U5.6.2/K4.15.0-73-generic
Institute for Internet Technologies and Applications
University of Applied Sciences Rapperswil, Switzerland
See 'ipsec --copyright' for copyright information.

@Freeradius

freeradius -v
radiusd: FreeRADIUS Version 3.0.16, for host x86_64-pc-linux-gnu, built on Apr 17 2019 at 12:59:55
FreeRADIUS Version 3.0.16
Copyright (C) 1999-2017 The FreeRADIUS server project and contributors
There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A
PARTICULAR PURPOSE
You may redistribute copies of FreeRADIUS under the terms of the
GNU General Public License
For more information about these matters, see the file named COPYRIGHT

Mobile Phone: 魅族16Plus/android8.1.0
Strongswan App:android4

安装

链接

@Strongswan官网
@Strongswan App 安卓客户端下载
@Freeradius官网

Ubuntu 安装 Strongswan

@阿里云源(下载安装更快)
vim /etc/apt/sources.list.d/aliyun.list
deb http://mirrors.aliyun.com/ubuntu/ bionic main restricted universe multiverse
deb http://mirrors.aliyun.com/ubuntu/ bionic-security main restricted universe multiverse
deb http://mirrors.aliyun.com/ubuntu/ bionic-updates main restricted universe multiverse
deb http://mirrors.aliyun.com/ubuntu/ bionic-proposed main restricted universe multiverse
deb http://mirrors.aliyun.com/ubuntu/ bionic-backports main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ bionic main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ bionic-security main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ bionic-updates main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ bionic-proposed main restricted universe multiverse
deb-src http://mirrors.aliyun.com/ubuntu/ bionic-backports main restricted universe multiverse

@apt更新
apt upgrade	更新已安装的软件包

apt list --upgradable查看可升级的软件信息
apt list --upgradable -a查看可升级的软件的全部版本信息

注意事项:不能随意使用sudo apt upgrade -y命令

@安装Strongswan
apt-get install strongswan strongswan-*
* strongswan 的许多模块如radius模块都是以单独的包,直接写strongswan-*把模块全部安装了,避免后面出现未安装模块而导致的错误(当然实际使用时最好根据需求去添加安装)

配置 Strongswang

@官方EAP-Framed-IP-Radius 文档 *供参考

生成私钥
pki --gen --outform pem > caKey.pem
pki --self --in caKey.pem --dn "C=CN, O=SZQSM, CN=SZQSM Root CA" --san root --ca --lifetime 3650 --outform pem > caCert.pem	#根证书
C--Country 国家		O--Organization 组织	CN--通用名保持默认
!!!Never store the private key caKey.der of the Certification Authority (CA) on a host with constant direct access to the Internet
私钥不要放到公网上

pki --gen --outform pem > serverKey.pem
pki --issue --in serverKey.pem --type priv --cacert caCert.pem --cakey caKey.pem	--dn "C=CN, O=SZQSM, CN=server" --san server --san 10.207.238.11 --flag Server --outform pem > serverCert.pem


pki --gen --outform pem > androidKey.pem
pki --issue --in androidKey.pem --type priv --cacert caCert.pem --cakey caKey.pem	--dn "C=CN, O=SZQSM, CN=android" --san android --san 10.207.238.11 --outform pem > androidCert.pem

mv caCert.pem /etc/ipsec.d/cacerts/

mv serverKey.pem /etc/ipsec.d/private/
mv clientKey.pem /etc/ipsec.d/private/

mv serverCert.pem /etc/ipsec.d/certs/
mv clientCert.pem /etc/ipsec.d/certs/ 

/etc/ipsec.conf
config setup
        charondebug="ike 2, knl 3, cfg 0"
        
conn %default
        fragmentation=yes
        ikelifetime=60m
        keylife=20m
        rekeymargin=3m
        keyingtries=2
        reauth=yes
        rekey=yes
        keyexchange=ikev2
       

conn mobile
        left=10.207.238.11
        leftid=10.207.238.11
        leftsubnet=192.168.1.0/24
        leftsendcert=always
        leftauth=pubkey
        leftcert=serverCert.pem
        leftfirewall=yes
        rightsendcert=never
        rightauth=eap-radius
        rightsourceip=%radius
        eap_identity=%any
        auto=add

/etc/ipsec.secrets
: RSA serverKey.pem

/etc/strongswan.conf
charon {
   
    load_modular = yes
    plugins {
   
        eap-radius {
   
            class_group = yes
            secret = android_pass_123456
            server = 10.207.238.11
        }
        include strongswan.d/charon/*.conf
    }
    dns1 = 114.114.114.114
    dns2 = 8.8.8.8
    nbns1 = 114.114.114.114
    nbns1 = 8.8.8.8
}

在这里插入代码片

配置 Freeradius

/etc/freeradius/3.0/clients.conf
client android{
   
        showrtname      = android
        ipaddr          = 10.207.238.11/32
        secret          = android_pass_123456
        require_message_authenticator = yes
        nas-type        = other
}

@radcheck表
android Cleartext-Password := 123456

@radreply表
android	Framed-IP-Address = 192.168.200.101
android Framed-IP-Netmask = 255.255.255.0
android Reply-Message = EAP Auth Success!

/etc/freeradius/3.0/sites-enabled/default
        eap {
   
                ok = return
        }

/etc/freeradius/3.0/mods-available/eap
	default_eap_type = md5

配置Strongswan APP

在这里插入图片描述

Debug

开启Strongswan debug
ipsec start --nofork
+++++++++++++++++++++++Start+++++++++++++++++++++++++++++++++++
00[LIB] loaded plugins: charon test-vectors unbound ldap pkcs11 tpm aes rc2 sha2 sha1 md4 md5 mgf1 random nonce x509 revocation constraints acert pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey dnscert ipseckey pem openssl gcrypt af-alg fips-prf gmp curve25519 agent chapoly xcbc cmac hmac ctr ccm gcm ntru bliss curl soup mysql sqlite attr kernel-netlink resolve socket-default connmark farp stroke vici updown eap-identity eap-sim eap-sim-pcsc eap-aka eap-aka-3gpp2 eap-simaka-pseudonym eap-simaka-reauth eap-md5 eap-gtc eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap eap-tnc xauth-generic xauth-eap xauth-pam xauth-noauth tnc-imc tnc-imv tnc-tnccs tnccs-20 tnccs-11 tnccs-dynamic dhcp whitelist lookip error-notify certexpire led radattr addrblock unity counters
00[LIB] dropped capabilities, running as uid 0, gid 0
00[JOB] spawning 16 worker threads
charon (16424) started after 120 ms

++++++++++++++++++++++Process+++++++++++++++++++++++++++
charon (16424) started after 120 ms
09[NET] received packet: from 10.207.238.201[63202] to 10.207.238.11[500] (716 bytes)
09[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
09[IKE] 10.207.238.201 is initiating an IKE_SA
09[IKE] IKE_SA (unnamed)[1] state change: CREATED => CONNECTING
09[IKE] remote host is behind NAT
09[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH
最低0.47元/天 解锁文章
strongswan Ubuntu 服务端修改 IKEv2 协议握手端口号
天苍野茫
08-07 1773
在 Ubuntu 22.04 搭建 strongSwan 服务端,并且修改 IKEv2 协议的握手端口 4500
strongswan 配置ikev2 for iOS
sonflower123的博客
08-11 5016
最新版本的strongswan 目前已支持ikev2 ,对于手机客户端,ios9.0 以上自带的vpn 支持 ikev2(服务器认证方式为:证书,客户端认证方式eap-mschapv2),安卓部分自带的客户端支持ikev2,如下为支持ios9.0以上的ikev2 配置 (手机客户端个人打包) 修改 ipsec.conf配置文件 vi /etc/ipsec.conf conn eap_ios
android strongswan1.9.6 客户端下载
06-16
由于系统设置默认必须用积分,这个大家可以去strongswan官网下载。官网地址:https://download.strongswan.org/Android/
Strongswan+freeradius+daloradius+ad认证实现ikev2接入服务六
weixin_34220623的博客
04-16 706
Strongswan+freeradius+daloradius+ad认证实现ikev2接入服务第五部分 安装配置 xl2tp 集成 strongswan 支持 l2tp over ipsec实验时间:2018年8月15日-2018年8月15日拓扑图:环境:防火墙1:FW1USG2200 IP地址外...
strongswan_freeradius_openldap
sonflower123的博客
10-18 2775
做vpn 项目的时候需要解决人员认证问题,最简单的办法是通过数据看库,最后决定采用的方法是strongswan 通过freeradius 认证用户人员信息,freeradius通过openldap验证strongswan的用户信息 一.安装zlib 下载zlib-1.2.3.tar.gz(或其他版本) wget http://down1.chinaunix.net/distfi
strongswan5.6.3
07-03
基于IPSec协议的源代码的实现,如果想好好学习了解IPsec的原理,strongswan是个很好的选择
CentOS6.5 部署***管理系统(StrongSwan+iKEv2+Freeradiu+Mysql+Daloradius)
weixin_34112181的博客
12-09 845
一、环境介绍ServerIP:192.168.30.133System:CentOS6.5Client:Winodows7二、编译安装StrongSwan  1.下载StrongSwan# wgethttp://download.strongswan.org/strongswan.tar.gz  2.安装相关库# yum update -y# yuminstall...
strongswan整合radius(待续)
cikenerd的博客
01-25 3300
测试系统:centos7.0 下载strongswan源码包编译安装,yum install strongswan出来的默认没有启用eap-radius yum install openssl-develtar -xf strongswsan-5.5.1.tar.gz ./configure --enable-eap-identity --enable-eap-md5 \ --enable-
strongswan 配置ikev2 for iOS and Android
sonflower123的博客
02-02 1万+
strongswan 高版本已支持ikev2,ios9.0以上版本的支持ikev2,Android也是高版本的部分机型支持ikev2,本人搭建的基于ikev2交换协议的strongswan VPN服务器对与iOS 是免证书的(iOS VPN客户端自己写的),Android (VPN客户端是stongswan 官网提供的客户端)服务器认证是证书,客户端认证eap模式配置文件如下 1.生成服务器证
使用strongswan建立基于ikev2 eap-mschapv2的ipsec服务器
指点江山
04-17 4823
sudo apt-get install strongswan strongswan-pki strongswan strongswan-plugin-eap-mschapv2 strongswan-plugin-xauth-generic 跟据不同系统版本要安装的软件包有差异,但是第一个肯定是要装的 eap-mschapv2认证也是需要服务器证书的,不需要客户端证书,但也需要服务器证书所...
strongSwan-2.2.1.apk
02-15
2020.2.15日以前Android 最新版本,大家可以去strongswan官网下载strongswan.org。
strongswan-5.8.4.tar.bz2
09-24
最新的strongswan-5.8.4源码,主要可以在各种linux上进行移植使用,目前看兼容效果非常好,已经和华三、锐捷设备进行过对接,
Strongswan+freeradius+daloradius+ad认证实现ikev2接入服务四
weixin_33888907的博客
08-15 738
strongswan openswan freeradius讨论QQ群:892427461Strongswan+freeradius+daloradius+ad认证实现ikev2接入服务第四部分 安装mysql、daloradius实现freeradius的web管理实验时间:2018年8月14日-2018年8月15日拓扑图:环境:防火墙1:FW1U...
strongswan使用说明
最新发布
墨染锦年的博客
12-18 1704
Strongswan 是一个基于 IPsec(Internet Protocol Security,互联网协议安全)的开源 VPN(Virtual Private Network,虚拟专用网络)解决方案。它实现了 IPsec 协议簇的相关功能,用于在不安全的网络(如互联网)上建立安全的连接通道,确保数据传输的保密性、完整性和真实性。
strongswan简单介绍
kernelfish的专栏
04-13 1万+
    strongswan是linux平台下的一款ipsec开源工具,和openswan一样都是基于freeswan项目。不过strongswan更侧重于ikev2协议的实现。ikev2(RFC 4306)是ike的第二个版本,它在安全性和功能上都有很大的增强,简化了协议。   strongswan绝大部分代码是用c实现的,支持klips和netkey两种ipsec方式。在ikev2协议中使
strongswan介绍
热门推荐
wq897387的专栏
03-12 2万+
strongswan介绍文档翻译
strongswan 搭建 IPSec 实验环境
yuyu的博客
09-09 1万+
使用两个CentOS7虚拟机,基于strongswan搭建IPSec VPN实验环境,通过是否配置加密算法,达到产生正常和非正常ESP数据包的目的。本篇为自己填坑记录。 目录 1、准备两个CentOS7虚拟机 2、安装strongswan 3、修改配置文件 4、配置NAT 5、 scp模拟大流量场景 6、修改配置文件去掉加密算法 1、准备两个CentOS7虚拟机 使其能相互ping通 (192.168.220.139 ping 通192.168.220.140) 实验拓扑如图: .
strongswan ipsec环境搭建及swanctl.conf配置含ca证书配置(tunnel模式,ah封装,rsa认证
weixin_43190642的博客
12-24 8784
vm1:192.168.182.144 host1:192.168.182.254 9.94.189.225 host2:9.94.189.226 192.168.152.254 vm2:192.168.152.132 环境如图所示,两台物理机充当网关,分别启动一台虚拟机组成局域网。 一、虚拟机启动 使用qume脚本启动,关键信息: -enable-kvm -display none -cpu host -smp 4 -m 4096 -kernel KaTeX p
strongswan+freeradius+脚本控制踢掉指定用户方法
weixin_34348805的博客
02-05 483
大家好: 最近一直在搞strongswan程序和freeradius结合,安装方法网上一搜就行了。 有一个问题困扰我好久,就是它不像l2tp或是pptp那样,客户连接上以后会有一个接口, 如果不想让谁登陆直接就直接找到对应的接口kill掉就行了,而strongswan却什么接口也 没有,搞了半天终于找到解决办法 方法如下: ...
strongswan配置ikev2 for安卓
09-22
StrongSwan是一款开源的IPsec (Internet Protocol Security) 客户端和服务器软件,用于在Android设备上实施IKEv2(Internet Key Exchange Version 2)。IKEv2是一种高级版本的IPsec IKE协议,它提供更好的安全性和效率。 要在Android设备上通过StrongSwan配置IKEv2,你需要按照以下步骤操作: 1. **安装StrongSwan**:首先从GitHub或其他可靠的源下载并安装StrongSwan的Android版应用,如strongswan-ipsec-agent或StrongSwan Connect。 2. **配置策略(IPSec policy)**:创建一个IPSec连接所需的IPSec策略文件(.conf),其中包括IKE交换模式(通常使用主模式),身份认证方法(比如预共享密钥或证书),以及加密算法等。 ```sh [ Ike ] ike-version = v2 auth-methods = psk x509 proposals = esp-xts-plain-sha256 [ Auth PSK ] phase1-auth-alg = sha256 phase1-prf-alg = sha256 phase1-encryption-alg = aes256 [ Crypto PSK ] phase2-encryption-alg = aes256-gcm ``` 3. **配置连接(Connection profile)**:定义一个连接配置,包含IKE交换信息、IPSec隧道属性和其他细节。例如: ```sh [ vpns] name = MyConnection left-id = <your-android-device-identifier> right-peer = <remote-server-ip-or-hostname> leftsubnet = 0.0.0.0/0 rightsubnet = 0.0.0.0/0 force-tun = no ``` 4. **导入或创建证书**:如果是使用证书的身份验证,需要在设备上管理相应的数字证书,或者将其上传到 StrongSwan应用。 5. **应用配置**:将上述策略和连接配置保存到 StrongSwan应用中,并启用相应的连接。 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值