用Openswan组建Linux IPSec ---第二部分

最新推荐文章于 2024-05-09 10:07:03 发布
最新推荐文章于 2024-05-09 10:07:03 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: IPSec协议分析

用Openswan组建Linux IPSec

                                                          -----Linux下建立IPSEC的VPN第二部分(续第一部分)

 四、下面我们给出使用RoadWarrior和使用证书的配置

#RoadWarrior(right)
conn road

    left=192.168.32.30

    leftnexthop=%defaultroute

    leftcert=vpn.pem

    leftid=@vpn

    right=192.168.32.29

    rightcert=ora92.pem

    rightsubnet=172.16.50.0/24

    rightid=@ora92

    pfs=yes

    auto=start

#Host(ora92)
conn road

    left=192.168.32.29

    leftcert=ora92.pem

    leftsubnet=172.16.50.0/24

    leftid=@ora92

    rightnexthop=%defaultroute

    right=%any

    rightcert=vpn.pem

    rightid=@vpn

    pfs=yes

    auto=start
使用上面的配制后在right主机上
    vpn#ping 172.16.50.18
   

五、基于预共享密钥认证方式Net-to-Net配置

1、配置/etc/ipsec.conf(左右网关的ipsec.conf配置一样)

version 2.0

config setup

nat_traversal=yes

nhelpers=0

include /etc/ipsec.d/examples/no_oe.conf

conn net

        auto=start

        right=192.168.32.30

        compress=no

        pfs=no

        left=192.168.32.29

        authby=secret

        ikelifetime=3600

        keylife=28800

        dpddelay=30

        dpdtimeout=120

        dpdaction=restart

        rekey=yes

        keyingtries=0

        rightsubnet=172.16.40.0/24

        leftsubnet=172.16.50/24

2、修改/etc/ipsec.secrets,左右网关上均加入如下行:

192.168.32.29 192.168.32.30 : PSK "123456"  

123456:为预共享密钥

 

六、Ipsec和l2tp配合使用

1、修改/etc/ipsec.conf加入

   conn L2TP

        auto=start

        right=192.168.32.29

        rightnexthop=%defaultroute

        compress=no

        pfs=no

        left=%any

        authby=secret

        ikelifetime=3600

        keylife=28800

        dpddelay=30

        dpdtimeout=120

        dpdaction=restart

        rekey=yes

        keyingtries=0

        rightprotoport=UDP/0

        leftprotoport=UDP/1701

2、修改/etc/ipsec.secrets加入如下一行:

192.168.32.29 %any : PSK "abcd1234"

  abcd1234:预共享密钥

   3、新建文件/etc/ppp/options.l2tp,加入如下:

ipcp-accept-local

ipcp-accept-remote

#ms-dns 202.106.0.20

#ms-dns 202.106.196.115

auth

crtscts

idle 1800

mtu 1200

mru 1200

nodefaultroute

debug

lock

proxyarp

connect-delay 5000

nologfd

   4、修改/etc/ppp/chap-secrets加入:

# Secrets for authentication using CHAP

# client        server  secret                  IP addresses

netsword        *       xiaobai     *

   5、修改/etc/l2tp/l2tp.conf加入:

       [global]

auth file = /etc/ppp/chap-secrets

 

[lns default]

exclusive = yes

ip range = 172.16.51.100-172.16.51.110  #拨入后分配的网址

local ip = 192.168.32.29

length bit = yes

require chap = yes

refuse pap = yes

require authentication = yes

pppoptfile = /etc/ppp/options.l2tp

6、启动ipsec和l2tp服务

#ipsec setup start

#/usr/local/bin/l2tp


七.Windows客户端的配置
    让windows客户端可以连接上Linux的IPSec网关是很有用的,毕竟桌面还是Windows比较的多。
    1)当然是让Openswan的主机运行正常运行起来,我们这里使用,上文最接近的那个road和road-net配置。同时要注意Windows的IPSec服务已经运行。
    2)生成证书
    生成新的主机密钥对win.pem和win.key,然后,我们需要把她转化成Windows可以识别的p12格式:
~/ca$ openssl pkcs12 -export -in win.pem -inkey win.key -certfile demoCA/cacert.pem -out win.p12
获得根证书的信息,记下来,下面要用到
subject= /C=CN/ST=Fujian/L=Xiamen/O=Jimei University/OU=Chengyi College/CN=jianqiu/emailAddress=jianqiu414@stu.jmu.edu.cn
    3)所需工具
http://vpn.ebootis.de/package.zip下载Marcus Müller的ipsec.exe工具,解压到一个目录中,本例使用d:\ipsec
~/ca$ openssl x509 -in demoCA/cacert.pem -noout -subject
得到如下的信息
    4)创建需要的控制台
    运行mmc->添加删除管理单元->添加->IP安全策略管理->选择本地计算机->完成;
    添加删除管理单元->添加->证书->计算机账户->本地计算机->完成。
    5)添加证书
    在刚才我们新建的工作台的证书上,选择个人->所以任务->导入,然后把win.p12导入即可。
    6)安装IPSec工具
    首先需要安装ipsecpol.exe(Windows 2000)或ipseccmd.exe(Windows XP,在Windows安装光盘的UPPORT\TOOLS目录下,setup选择完全安装),在http://support.microsoft.com/default.aspx?scid=kb;en-us;838079还有一片关于XP SP2的这些个附加工具的说明。
    随后编辑d:\ipsec\ipsec.conf文件,把我们上面得到的证书的信息填入rightca,也可以用mmc的证书页面查看,编辑好的ipsec.conf看起来是这个样子的。
conn roadwarrior
    left=%any
    right=192.168.49.2
    rightca="C=CN,S=Fujian,L=Xiamen,O=Jimei University,OU=Chengyi College,CN=jianqiu,E=jianqiu414@stu.jmu.edu.cn"
    network=auto
    auto=start
    pfs=yes

conn roadwarrior-net
    left=%any
    right=192.168.49.2
    rightsubnet=192.168.183.0/44
    rightca="C=CN,S=Fujian,L=Xiamen,O=Jimei University,OU=Chengyi College,CN=jianqiu,E=jianqiu414@stu.jmu.edu.cn"
    network=auto
    auto=start
    pfs=yes
如果,你想要加密所有和192.168.49.2的连接

conn roadwarrior-all
    left=%any
    right=192.168.49.2
    rightsubnet=*
    rightca="C=CN,S=Fujian,L=Xiamen,O=Jimei University,OU=Chengyi College,CN=jianqiu,E=jianqiu414@stu.jmu.edu.cn"
    network=auto
    auto=start
    pfs=yes

注意rightca不要写错,可以通过我们刚才的控制台,依次打开,“IP安全策略,在本地计算机”->FreeSwan-> “roadwarrior-Host filter list”->“身份验证方法”->“使用由此证书颁发机构(CA)颁发的证书”里的字段。

然后到d:\tools目录下,运行ipsec

IPSec Version 2.2.0 (c) 2001-2003 Marcus Mueller
Getting running Config ...
Microsoft's Windows XP identified
Usage: Ipsec [-off] [-delete] [-debug] [-nosleep]

D:\Tools\ipsec>ipsec
IPSec Version 2.2.0 (c) 2001-2003 Marcus Mueller
Getting running Config ...
Microsoft's Windows XP identified
Setting up IPSec ...

        Deactivating old policy...
        Removing old policy...

Connection roadwarrior:
        MyTunnel     : 192.168.49.1
        MyNet        : 192.168.49.1/255.255.255.255
        PartnerTunnel: 192.168.49.2
        PartnerNet   : 192.168.49.2/255.255.255.255
        CA (ID)      : C=CN,S=Fujian,L=Xiamen,O=Jimei University,OU=Cheng...
        PFS          : y
        Auto         : start
        Auth.Mode    : MD5
        Rekeying     : 3600S/50000K
        Activating policy...

Connection roadwarrior-net:
        MyTunnel     : 192.168.49.1
        MyNet        : 192.168.49.1/255.255.255.255
        PartnerTunnel: 192.168.49.2
        PartnerNet   : 192.168.183.0/255.255.255.0
        CA (ID)      : C=CN,S=Fujian,L=Xiamen,O=Jimei University,OU=Cheng...
        PFS          : y
        Auto         : start
        Auth.Mode    : MD5
        Rekeying     : 3600S/50000K
        Activating policy...
d:\ipsec>ping 192.168.49.2
看到
Negotiating IP Security.
后有回复,说明连接成功。

如果ipsec工具在你的系统上运行有问题,请确认你的rightca有没有填错。也可以尝试到sourceforge.net下载Linsys IPSec Tool项目的lsipsectool.exe。另外,如果系统是Windows XP SP2,还要注意NAT-T的问题。具体Windows运行IPsec客户端的注意事项可以查阅http://wiki.openswan.org/index.php/Win2K

wangpengqi
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openswan 移植
04-22 1726
最近一周都在移植openswan。这是个fei chan
Build L2TP over IPSec on Linux(Using OpenSwan and l2tpd.0.69)
Kendiv's Box
12-26 3490
Author : Kendiv Date   : 2006.12.20*************************************Requirements************************************* A. Linux Kernel, either 2.0, 2.2, 2.4 or 2.6 based.  B. If building from sou
openswan搭建ipsec *** 仅network-to-network方式
weixin_33937778的博客
01-07 507
Centos6.4 openswan 搭建使用方法直接放图好像有点问题,上传了doc文件,有兴趣的可以下载看看一.Openswan介绍Openswan简介请自行百度。二、openswan的配置介绍 1. OpenSWan主要配置文件/etc/ipsec.secrets ...
开源项目推荐:OpenSwan - 强大的Linux IPsec实现
最新发布
gitblog_00070的博客
05-09 342
开源项目推荐:OpenSwan - 强大的Linux IPsec实现 项目地址:https://gitcode.com/xelerance/Openswan 1、项目介绍 OpenSwan是一款专为Linux设计的IPsec实施项目,它支持大多数与IPsec相关的扩展,包括IKEv2、X.509数字证书、NAT穿透以及许多其他功能。这个项目源自FreeS/WAN 2.04,并集成了一些重要的补丁和...
openswan-2.6.38
01-08
openswan-2.6.38源码,搬运自openswan.org openswan-2.6.38.tar.gz
Openwrt ipsec介绍
Roger_Hoo 的博客
11-22 2196
简介openwrt ipsec部署的几种场景,并列举常见问题的解决办法
Linux 内核IPSec(xfrm)协议栈源码分析
06-21
Linux 内核 IPSec 协议栈源码分析》 1. 前言 在Linux内核中,IPSec(Internet Protocol Security)是一种网络安全协议,用于在IP层提供安全服务,包括加密和完整性保护。它基于XFRM(eXtensible Framework for ...
openSwan-2.4.7.tar.gz
03-22
openSwan 2.4.7:构建安全的IPsec虚拟私有网络》 openSwan是一款开源软件,主要用于实现IPsec(Internet Protocol Security)虚拟私有网络,它为互联网上的通信提供了加密和身份验证服务,从而保障了数据的安全...
openswan的Pluto源码分析以及linuxIPsec内核源码分析
11-08
openswan的Pluto源码和linuxIPsec内核源码进行了详细的分析,对于理解openswan的运行机制以及linuxIPsec实现很有帮助
puppet-openswan
05-17
OpenswanIPsec协议栈的一部分,用于在不同的网络之间建立安全、加密的通信隧道。IPsec是互联网工程任务组(IETF)制定的一组标准,旨在提供数据保密性、完整性和身份验证,以保护网络通信免受窃听和篡改。通过使用...
openswan-2.6.51.tar.gz
01-21
openswan源码
路由器基础(十二):IPSEC VPN配置
limengshi138392的博客
11-04 8394
路由器基础(十二):IPSEC VPN配置
ipsec.conf 各配置含义
Yttsam的博客
04-20 1040
esp:ESP (Encapsulating Security Payload)的配置参数,例如加密算法、认证算法等。需要注意的是,ipsec.conf 文件的内容和格式可能会因操作系统、版本以及实际应用场景而有所不同。type:连接类型,例如 tunnel、transport、roadwarrior 等。ike:IKE 阶段 1 的配置参数,例如加密算法、认证算法等。left/rightid:身份标识符,例如主机名、IP 地址等。conn:连接名,表示需要建立的安全连接的名称。
ipsec配置一台中心和多台分支的时候,中心端rightid的配置
happiness100808的专栏
01-07 944
最近在新产品发布前期,遇到一新的问题,在一个中心(一对多的配置方法)和多个分支建立连接的时候只能连接上一台分支,而另外一台分支连接上会踢掉,原以为是因为strongswan支持移动终端接入影响的,经过好几个小时的分析也没查到什么原因,第二天一进公司的门同事就给我说是配置的事,我一下懵了,说中心端的rightid应该写成任意也就是*而不应该写成一个固定的,当时就傻了,明明记得以前有成功的案例,为什么
strongswanipsec.conf配置手册
衡水铁头哥的博客
07-09 6407
ipsec.conf是strongSwan的关键配置,文件指定了strongSwan IPsec子系统的大部分配置和控制信息。主要的例外是身份验证的密钥,配置保存在ipsec.secrets文件中。
【译】IPSEC.CONF(5) - IPsec配置
u014089899的博客
05-30 5614
NAMEipsec.conf —— IPsec配置DESCRIPTIONipsec.conf指定了Openswan IPsec子系统的大多数配置和控制信息。include ipsec.*.conf 包含指定的配置文件CONN SECTIONSconn项定义了一个IPsec连接的规范,名字可以随意定义。例如:conn snt left=10.11.11.1 leftsubnet=10...
strongSwanipsec.confIPsec 的配置和连接
hhd1988的专栏
05-18 5265
配置文件描述 可选的ipsec.conf文件指定了strongSwan IPsec子系统的大多数配置和控制信息。 主要的例外是身份验证的机密;见ipsec.secrets(5)。其内容不是安全敏感的。 该文件是一个文本文件,由一个或多个部分组成。空格后跟“#”后跟任何到行末尾是注释,而被忽略,空行不包含在部分内。 包含include和文件名的行(由空格分隔)将替换为该文件的内容。 如果文件名不是完整路径名,则认为它与包含包含文件的目录相关。 这种包含可以嵌套。 可能只提供一个文件名,它可能不包含空格,
CentOS 6.3下Openswan实现双IDC互联
weixin_33862188的博客
08-03 218
一、软件说明1、Openswan简介    OpenswanLinuxIPsec的最佳实现方式,其功能强大,最大程度地保证了数据传输中的安全性、完整性问题。    Openswan支持2.0、2.2、2.4以及2.6内核,可以运行在不同的系统平台下,包括X86、X86_64、IA64、MIPS以及ARM。    Openswan是开源项目FreeS/WAN停止开发后的后继分支项目,其分裂为两个...
用L2TP与OpenSwan构建IPSec ×××(使用X.509证书认证)
weixin_33802505的博客
05-05 234
OpenSwan自身构建×××,到最后用L2TP与X.509证书构成较为普遍的IPSec ×××,中间遇到了很多挫折,一起写在这里。 在整个过程中,主要参考下面几篇文章: 九尾银狐的“开源Linux ×××解决方案 - OpenSWan安装配置指南”一文。地址:[url]http://www.entage.net/1/viewspace_8112.html[/url]...
教我用openswan部署IPSec ,详细的介绍每一个配置文件,并解释第一阶段第二阶段的认证加密算法如何配置
03-27
OpenSwan是一个IPSec实现,它允许您建立安全的虚拟专用网络(VPN)连接来保护您的网络通信。在本教程中,我们将介绍如何使用OpenSwan部署IPSec。我们将讨论每个配置文件的详细信息,并解释第一阶段和第二阶段的认证和加密算法如何配置。 步骤1:安装OpenSwan 在开始之前,请确保您已在Linux系统上安装了OpenSwan。您可以使用以下命令在Ubuntu上安装OpenSwan: ``` sudo apt-get update sudo apt-get install openswan ``` 步骤2:配置IPSec 下面是IPSec的配置文件。您可以在/etc/ipsec.conf中找到它。 ``` config setup protostack=netkey nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12 oe=off nhelpers=0 interfaces=%defaultroute plutodebug=all plutostderrlog=/var/log/openswan.log dumpdir=/var/run/pluto/ lockdir=/var/run/pluto/ conn %default ikelifetime=60m keylife=20m rekeymargin=3m keyingtries=1 authby=secret pfs=no conn vpn-to-site left=192.168.1.1 leftsubnet=192.168.1.0/24 right=203.0.113.2 rightsubnet=10.0.0.0/24 auto=start ``` 让我们逐个解释每个配置项: - protostack:指定协议堆栈。在这种情况下,我们使用netkey协议堆栈。 - nat_traversal:启用NAT遍历。如果您的VPN连接将通过NAT进行,则应启用此选项。 - virtual_private:指定内部网络的IP地址段。在这种情况下,我们指定了三个IP地址段:10.0.0.0/8,192.168.0.0/16和172.16.0.0/12。 - oe:关闭超时。如果您的VPN连接长时间处于非活动状态,则关闭此选项可能会更安全,因为它不会在非活动状态下发送任何消息。 - nhelpers:指定NAT助手的数量。在这种情况下,我们将其设置为0。 - interfaces:指定默认路由接口。 - plutodebug:指定调试级别。在这种情况下,我们将其设置为all,以便记录所有信息。 - plutostderrlog:指定日志文件的位置。 - dumpdir:指定该进程的转储目录。 - lockdir:指定该进程的锁定目录。 接下来,我们定义了一些默认连接参数。这些参数将应用于我们所有的连接。 - ikelifetime:指定IKE的生存期。 - keylife:指定IPSec密钥的生存期。 - rekeymargin:指定重新生成密钥的时间差。 - keyingtries:指定尝试建立连接的次数。 - authby:指定身份验证方式。在这种情况下,我们使用预共享密钥(PSK)。 - pfs:指定完美的前向保密性。在这种情况下,我们将其禁用。 最后,我们定义了我们的第一个连接,它将使用我们之前定义的默认参数。 - conn vpn-to-site:指定连接的名称。 - left:指定本地IP地址。 - leftsubnet:指定本地IP地址段。 - right:指定远程IP地址。 - rightsubnet:指定远程IP地址段。 - auto:指定连接类型。在这种情况下,我们将其设置为start,以便在启动时自动启动连接。 步骤3:配置PSK 现在,让我们创建一个预共享密钥(PSK)。您可以在/etc/ipsec.secrets中找到它。 ``` 192.168.1.1 203.0.113.2 : PSK "myvpnpassword" ``` 在这里,我们将本地IP地址和远程IP地址与PSK绑定。在这种情况下,我们将其设置为“myvpnpassword”。 步骤4:配置IKE 下面是IKE的配置文件。您可以在/etc/ike.conf中找到它。 ``` ikev1=enable esp=3des-sha1 ike=3des-sha1-modp1024 phase2=esp ``` 让我们逐个解释每个配置项: - ikev1:启用IKEv1。 - esp:指定ESP的加密算法。在这种情况下,我们使用3DES和SHA1。 - ike:指定IKE的加密算法。在这种情况下,我们使用3DES,SHA1和MODP1024。 - phase2:指定第二阶段的协议。在这种情况下,我们使用ESP。 现在,我们已经完成了所有配置。您可以使用以下命令启动IPSec服务: ``` sudo service ipsec start ``` 您可以使用以下命令停止IPSec服务: ``` sudo service ipsec stop ``` 总结 在本教程中,我们介绍了如何使用OpenSwan部署IPSec。我们逐个解释了每个配置文件,并解释了第一阶段和第二阶段的认证和加密算法如何配置。现在,您可以使用OpenSwan建立安全的VPN连接来保护您的网络通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值