ipsec-tools之racoon搭建

最新推荐文章于 2021-10-13 13:46:31 发布
最新推荐文章于 2021-10-13 13:46:31 发布
阅读量1k 收藏 2
点赞数
原文链接:https://my.oschina.net/u/2404183/blog/625137
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

简介:kernel从Linux2.6内核开始就自带ipsec模块,即ipsec-tools,主要包括libipsec、setkey、racoon和racoonctl这个模块,setkey主要用于配置SAD(安全关联数据库)和SPD(安全策略数据库),racoon用于IKE协商,既实现了双向认证,又能建立和维护IPsec SA。下面使用psk的认证方法配置racooon。

Ipsec v1搭建,debian 7 64位Linux下编译racoon(最简单的安装方法是直接apt-get install -y racoon,然后按需配置)

1,获取源
echo "deb http://www.miroir.vbrunet.eu/debian/ stable main #contrib non-free
deb-src http://www.miroir.vbrunet.eu/debian/ stable main #contrib non-free
deb http://security.debian.org/ stable/updates main" >> /etc/apt/sources.list

apt-get update
apt-get upgrade -y

apt-get -y install build-essential fakeroot dpkg-dev

apt-get source racoon
apt-get -y build-dep racoon 

2,编译安装
echo "export LC_ALL=C" >> /root/.bashrc
source /root/.bashrc 

dpkg-source -x ipsec-tools_0.8.2+20140711-2+deb8u1.dsc
cd ipsec-tools-0.8.2+20140711
fakeroot debian/rules binary
dpkg -i ../ipsec-tools_0.8.2+20140711-2+deb8u1_amd64.deb 

apt-get install init-system-helpers
dpkg -i ../racoon_0.8.2+20140711-2+deb8u1_amd64.deb

3,设置配置文件

 PSK
cat > /etc/racoon/psk.txt <<-EOF
# Group Name Group Secret
vpn gooday                       前面vpn组名,后面vpn预置密钥
EOF

欢迎信息(可随意写)
cat > /etc/racoon/motd <<-EOF
welcome!
EOF

chmod 700 /etc/racoon/psk.txt

主配置文件

cat > /etc/racoon/racoon.conf <<-EOF
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

listen {
isakmp YOURSERVERIP [500];     服务器外网ip     
isakmp_natt YOURSERVERIP [4500]; 
}

remote anonymous {
exchange_mode aggressive, main, base;  同时支持主模式和野蛮模式
mode_cfg on;   通过modcfg获取dns配置
proposal_check obey;
nat_traversal on;  开启NAT-T
generate_policy unique;
ike_frag on;
passive on;
dpd_delay 20; 死链接超时间隔

proposal {
lifetime time 28800 sec;
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method xauth_psk_server; psk用户名密码认证
dh_group 2;
}
}

sainfo anonymous {
encryption_algorithm aes, 3des, blowfish;
authentication_algorithm hmac_sha1, hmac_md5;
compression_algorithm deflate;
}

mode_cfg {
auth_source system;  系统用户名和密码认证
dns4 8.8.8.8; 
banner "/etc/racoon/motd";  欢迎字符
save_passwd on;
network4 192.168.10.20;   vpn内网ip
netmask4 255.255.255.0;
pool_size 200;         最大客户端数量
pfs_group 2;
}
EOF

4,设置iptables规则

iptables -A INPUT -p udp -–dport 500 -j ACCEPT

iptables -A INPUT -p udp --dport 4500 -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.10.20/24 -o eth0 -j MASQUERADE

iptables -A FORWARD -s 192.168.10.20/24 -j ACCEPT

5,设置数据转发

echo 1 > /proc/sys/net/ipv4/ip_forward

sed -i 's/#net.ipv4.ip_forward=1/net.ipv4.ip_forward=1/g' /etc/sysctl.conf

6,测试

新建系统账号

useradd USER

passwd USER

7,启动服务器

racoon -F  调试模式

service racoon start  启动服务

8,Windows客户端连接测试

安装shrew site configuration

配置:

add

general选项remote host添加ip

authentication选项 method:mutual PSK + xauth,local identity type设置key identifier,keyid string设置为之前的组名vpn

credentials设置  pre shared key设置为之前的密钥gooday

保存后connect输入user:passwd回车,跳出welcome信息

显示tunnel enabled即连接成功.

 

 

转载于:https://my.oschina.net/u/2404183/blog/625137

weixin_33849942
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IPsec工具之ipsec-tools
weixin_33858485的博客
04-19 2496
Linux从2.6内核开始自带IPsec模块,配合IPsec-Tools,可以实现Linux的IPsec功能。 IPsec-Tools包含4个模块 libipsec:PF_KEY实现库 setkey:用于配置SAD(安全关联数据库)和SPD(安全策略数据库) racoon:IKE守护程序,用于自动建立IPsec连接 racoonctl:操作racoon的shell工具 ...
使用racoon setkey搭建IPsec环境
终身学习的程序猿
06-18 1万+
使用racoon setkey搭建IPsec VPN环境 转载请注明出处:http://blog.csdn.net/rosetta 以前的博文写的都是基于openswan klips的IPsec实现及环境搭建,没有使用过Linux自带的netkey,现基于Linux自带的netkey搭建IPsec VPN环境,并参考UNPV13e写一个应用层程序倾泻安全联盟。
IPSEC-TOOLS使用说明
05-10
IPSEC-TOOLS详细使用说明 安装 搭建 配置 步骤
使用racoon setkey搭建IPsec VPN环境
GOOD__YOUTH的博客
10-13 971
Linux自带的pfkey可以使用两种方式操作搭建隧道环境:一种是使用setkey手动设置SA,这种方式不常用,SA中的SPI,加密密钥、认证密钥等都是要手动填的,比如md5需要128bit,3des 192bits,可想而知有多大不便;另一种由racoon自动协商生成IPsec SA,但它在协商之前需要setkey先设置SP。 搭建环境:CentOS release 5.4,内核2.6.18-164.el5xen 拓扑如下: 在每一个VPN网关需要增加默认路由,否则无法使用p...
IPsec-Tools配置之racoon
热门推荐
人生如棋
07-12 2万+
IPsec-Tools中的racoon工具实现了IKE的功能:既实现了双向认证,又能建立和维护IPsec SA。
racoonx
03-28
浣熊购物
Linux 下 IPsec-tools的使用
ai58203的博客
07-26 597
Ipsec-tools有人工和自动两种方式来管理SA。 Manual keyed connections using setkey 所有连接所需的参数均由管理员提供。不使用IKE协议来自动认证对端和协商参数。管理员来决定用哪个协议、算法和密钥来创建安全联盟。 Transport Mode 使用Setkey命令可以修改SAD和SPD中存储的所有参数。Setkey -...
ansible-ipsec:Ansible的IPSec配置生成器
01-31
在Ansible-ipsec中,可能涉及到通过playbook配置racoon服务。 5. **使用场景**:Ansible-ipsec可能适用于大型企业或组织,需要在多台服务器之间建立安全的通信通道,例如,数据中心之间的互连,或者云环境与本地...
Remiss IPSec configurator-开源
05-03
这个工具支持racoon和setkey,它们分别是IPSec的两种关键组件:racoon是IKE(Internet Key Exchange)的实现,负责密钥交换和策略管理;setkey则是IPSec内核接口的用户空间工具,用于定义和管理安全策略。 "Remiss ...
ipsectools-0.8.2
09-05
linux 2.6.32上使用的ipsectools,最新版本到0.8.2
ipsec模块研究
04-06
ipsec模块研究 ike sa racoon linux
racoon2-20070720a.rar
10-27
racoon2-20070720a.rar》是一个开源软件包,它包含了实现IPSec(Internet Protocol Security)和IKE(Internet Key Exchange)协议的源代码。这个项目对于那些想要深入理解和开发相关安全协议的人来说具有极高的...
使用 ipsec-tools 设置 SAD 和 SPD
bytxl的专栏
01-21 5025
在 《 IPSec 中的 AH 机制详解》 和 《IPSec 中的 ESP 机制详解》 里分别介绍了 IPSec 中的 AH 和 ESP 这两种协议,并给出了 wireshark 的抓包截图,但没有给出如何配置这两种情况的实验环境。 如果要让 IPSec 可以正常工作,那么需要适当的管理工具来管理 AH 和 ESP 运行所需要的参数,这些管理工具在开源领
IPSec-Tools配置
lucien的博客
10-27 1238
http://blog.csdn.net/zt698/article/details/4811604 1       介绍 从Linux 2.6内核开始,内核就自身带有IPSec模块,配合IPSec-Tools,能很好的实现Linux的IPSec功能。 IPSec-Tools主要包含libipsec、setkey、racoonracoonctl这4个模块,setkey主要用于配置S
linux查看ipsec命令,Linux 下 IPsec-tools的使用
weixin_30140317的博客
05-05 1951
Ipsec-tools有人工和自动两种方式来管理SA。Manual keyed connections using setkey所有连接所需的参数均由管理员提供。不使用IKE协议来自动认证对端和协商参数。管理员来决定用哪个协议、算法和密钥来创建安全联盟。Transport Mode使用Setkey命令可以修改SAD和SPD中存储的所有参数。Setkey -f /etc/setkey.conf表示从...
chromedriver-mac-arm64_126.0.6474.0.zip
最新发布
07-31
chromedriver-mac-arm64_126.0.6474.0.zip
一些IPsec工具项目是什么
06-07
4. IPsec-tools:一个可在Linux、FreeBSD和Solaris上运行的IPsec实现,包括racoon和setkey工具。 5. Openssl:一个开源的加密库,支持IPsec协议中使用的加密算法。 6. OpenConnect:一个支持IPsec VPN的开源客户端...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值