6. 详解 IPSec 的 net2net-RSA 组网实践

最新推荐文章于 2023-12-20 16:22:23 发布
最新推荐文章于 2023-12-20 16:22:23 发布
阅读量787 收藏 4
点赞数
分类专栏: # IPSec 原理及硬件加速
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38387929/article/details/118158242
版权

实验环境

本篇记录 IPSec 的 net2net 的组网, 身份认证方式 基于 预共享密钥 (PSK) 模式, 主机采用自定义编译 openwrt-x86 虚拟主机,IPSec 使用 StrongSwan 组件。

测试环境:

(1)x86-OpenWRT-19.09 镜像
(2)PVE ( proxmox-6.3.2 )

网络架构

net2net-psk的组网图,我们可以看到我们至少需要两个客户机Alice和Bob,两个网关Moon和Sun。

在这里插入图片描述

配置net2net-rsa

配置rsa,主要是rsa需要进行公钥私钥的认证,还要有CA签发证书。在 PVE 主机上,安装 strongswan、strongswan-pki、strongswan-swanctl工具,产生ca证书。
安装命令如下:

apt install strongswan strongswan-pki strongswan-swanctl

生产 CA 证书

生成私钥:

# ipsec pki --gen --outform pem > ca.pem
# ls -l
total 1145588
-rw-r--r-- 1 root root       1679 Jun 23 17:54 ca.pem  # 证书生成完成

自签发CA证书:

# ipsec pki --self --in ca.pem\ 
--dn "C=CN, O=NetworkLab, CN=NetworkLab CA"\
--ca --outform pem > ca.cert.pem

# ls -l
total 1145592
-rw-r--r-- 1 root root       1176 Jun 23 18:01 ca.cert.pem
-rw-r--r-- 1 root root       1679 Jun 23 17:54 ca.pem

这里–self表示自签证书,–in是输入的私钥,–dn是判别名,–ca表示生成 CA,其它同上。
C 表示国家名,同样还有 ST 州/省名,L 地区名,STREET(全大写) 街道
O 表示组织名
CN 为通用名

生成服务器端证书

IPSec 两端通讯的服务器是互为 client – server 模式,所以需要分别给 moon (192.168.40.79)、 sun(192.168.40.80) 生成证书,以 生成 moon 服务器证书 为例。

  • 1.生成 moon 私钥:
ipsec pki --gen --outform pem > moon.server.pem
    1. 签发 moon 证书:
ipsec pki --pub --in moon.server.pem | \
ipsec pki --issue --cacert ca.cert.pem --cakey ca.pem \
--dn "C=CN, O=NetworkLab, CN=moon.com" --san="moon.com" \
--flag serverAuth --flag ikeIntermediate --outform pem > moon.server.cert.pem

ipsec pki --pub --in moon.server.pem 就是从刚生成的私钥里把公钥提取出来。然后我们用公钥去进行后面的服务器证书签发。

注: 生成 sun 密钥 和 证书 方法相同。

安装证书

服务器 moon 需要配置文件清单:

CA证书(认证使用的 ca.pem 证书);
sun的server私钥 (sun.server.pem)、sun的server证书(sun.server.cert.pem ), moon 认证 sun 使用,此时 sun为客户端;
moon的client私钥、moon的client证书;

我们就把证书放到相应的位置:

scp -r ca.cert.pem root@192.168.40.79:/etc/ipsec.d/cacerts/
scp -r moon.server.cert.pem root@192.168.40.79:/etc/ipsec.d/certs/
scp -r moon.server.pem root@192.168.40.79:/etc/ipsec.d/private/
scp -r sun.client.cert.pem root@192.168.40.79:/etc/ipsec.d/certs/
scp -r sun.client.pem root@192.168.40.79:/etc/ipsec.d/private/

修改 IPSec 配置文件

  • moon 服务器的配置文件
# basic configuration

config setup
        # strictcrlpolicy=yes
        # uniqueids = no

# Add connections here.

conn %default
        ikelifetime=60m
        keylife=20m
        rekeymargin=3m
        keyingtries=1
        authby=secret
        keyexchange=ikev2
        mobike=no

conn net-net
        left=192.168.40.79
        leftsubnet=10.2.0.0/16
        leftid=@sun.strongswan.org
        leftfirewall=yes
        right=192.168.40.80
        rightsubnet=10.1.0.0/16
        rightid=@moon.strongswan.org
        auto=add
  • sun 服务器配置文件
# basic configuration

config setup
        # strictcrlpolicy=yes
        # uniqueids = no

# Add connections here.

conn %default
        ikelifetime=60m
        keylife=20m
        rekeymargin=3m
        keyingtries=1
        authby=secret
        keyexchange=ikev2
        mobike=no

conn net-net
        left=192.168.40.80
        leftsubnet=10.1.0.0/16
        leftid=@moon.strongswan.org
        leftfirewall=yes
        right=192.168.40.79
        rightsubnet=10.2.0.0/16
        rightid=@sun.strongswan.org
        auto=add

启动 IPSec

实验待落实补充。

参考链接:https://blog.csdn.net/puppylpg/article/details/64918562
数字证书、公钥: https://blog.csdn.net/ly131420/article/details/38400583#t5

老理说的好
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
GRE over IPSec组网配置
Qconfig100的博客
09-01 501
R-A 为分公司网关,R-B为总部网关,分公司与总部通过公网建立通信,含组播通信。现需求对分公司与总部之间相互访问的流量进行安全保护,但是组播数据无法直接应用IPSec,故只能建立基于虚拟隧道接口方式的GRE over IPSec,对隧道接口下的流量进行保护。
easy-rsa-2.2.0.tar.gz
06-30
《Easy RSA 2.2.0:构建OpenSSL证书权威机构的详解》 在网络安全领域,数字证书是保障通信安全的重要工具,而Easy RSA则是一个用于简化OpenSSL证书管理的开源工具。本文将深入探讨Easy RSA 2.2.0版本,以及如何使用...
自动创建XFRM虚拟接口的net2net形式的IPSEC
redwingz的博客
12-02 791
以下根据strongswan代码的testing/tests/route-based/net2net-xfrmi/的测试环境,来看一下基于路由和XFRM接口的安全连接。在配置sun网关使用特殊值%unique-dir自动为in/out两个方向创建不同ID值的xfrm虚拟设备;而moon网关仍然使用在swanctl.conf文件手动指定xfrm接口ID值,并且手动创建XFRM接口的方法。su...
3. 详解 IPSecnet2net 组网实践
weixin_38387929的博客
06-03 1662
实验环境 本篇记录 IPSecnet2net组网, 身份认证方式 基于 预共享密钥 (PSK) 模式, 主机采用自定义编译 openwrt-x86 虚拟主机,IPSec 使用 StrongSwan 组件。 测试环境: (1)x86-OpenWRT-19.09 镜像 (2)PVE ( proxmox-6.3.2 ) 网络架构 net2net-psk的组网图,我们可以看到我们至少需要两个客户机Alice和Bob,两个网关Moon和Sun。 第一步 创建 4台 openwrt 的虚机 如何把 op
基于路由和VTI隧道接口的net2netIPSec实现
redwingz的博客
12-02 1664
以下根据strongswan代码的testing/tests/route-based/net2net-vti/的测试环境,来看一下基于路由和VTI接口实现的安全连接。拓扑结构如下: 拓扑图使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。 sun网关配置 sun的配置文件:/etc/swanctl/swanctl.conf,内容如下。连接home的字段vips设置为0...
ens模拟器下做ipsec ***实验(rsa认证)
weixin_34279061的博客
02-03 591
具体的实验步骤,以后再写,先吐槽一下,该洗洗睡了。。。ensp下的USG6000V吐槽一下,保存配置文件并且保存整个拓扑,重新打开证书全没了,需要重新配,差评,之前生成的rsa也没了,所以做这个实验,一定要一次做完,不然的话,第二次打开的话,需要重新配。。。呵呵哒。查看生成的rsa秘钥信息dis pki rsa local-key-pair public另外我用Windows server 201...
ISCW实验7:采用RSA Nonce加密认证的IPSec ×××
weixin_34233679的博客
09-12 335
实验过程:第一步 基本接口配置R1:R1(config)#int lo0R1(config-if)#ip add 1.1.1.1 255.255.255.0R1(config-if)#int f0/0R1(config-if)#ip add 192.168.1.1 255.255.255.0R1(config-if)#no shR1(config-if)#exitR1(...
spring-security-rsa-1.0.10.RELEASE-API文档-文版.zip
05-04
赠送jar包:spring-security-rsa-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-rsa-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-rsa-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-rsa-1.0.10.RELEASE-API文档-英对照版.zip
05-02
赠送jar包:spring-security-rsa-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-rsa-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-rsa-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
easy-rsa-old-master.zip
09-29
easy-rsa-old-master.zip . ├── configure.ac ├── COPYING ├── COPYRIGHT.GPL ├── distro │ ├── Makefile.am │ └── rpm │ ├── easy-rsa.spec.in │ └── Makefile.am ├── doc │ ...
openwrt-luci-ipsec:openwrt-luci-vpnd
07-11
openwrt-luci-vpnd openwrt-luci-vpnd
easy-rsa-2.2.2-1.el6.noarch.rpm
05-28
easy-rsa-2.2 easy-rsa-2.2.2-1.el6.noarch,这个版本现在已经下载不了,本人也是费了很大劲才找到,特来分享
CTF-RSA-tool-master.zip
01-19
针对CTFCRYPTO的RSA工具
node-rsa:Node.js RSA
02-04
节点RSA Node.js RSA库基于Tom Wu的jsbn库 纯JavaScript 不需要OpenSSL 产生金钥 支持长消息进行加密/解密 签名和验证 例 const NodeRSA = require ( 'node-rsa' ) ; const key = new NodeRSA ( { b : 512 } ) ;...
easy-rsa-2.2.2-1.el7.noarch.rpm
02-26
easy-rsa-2.2.2-1.el7.noarch.rpm 目前easy-rsa已更新
公钥私钥证书
热门推荐
qq_25933249的博客
08-25 1万+
理解公钥私钥首先要区分加密和认证这两个概念! 加密和认证 加密是将数据资料加密,使别人即使获取加密数据,也无法获取正确的资料内容,重点在于数据的安全性。 认证是是确定数据的真实发送方,使别人无法伪造或冒充,重点在于用户的真实性。 公钥私钥 公钥私钥通常称非对称加密(又称 不对称加密) 使用公钥私钥的目的是为了安全的数据传输,必须实现如下目的: 发送方将数据加密,在数据传输过程不能被别人...
XFRM--IPsec协议的内核实现框架
最新发布
maimang1001的专栏
12-20 453
IPsec有两个重要的概念:安全关联(Security Association)和安全策略(Security Policy)。这两种类型的信息都需要储存在内核的XFRM(Transform)。核心XFRM使用netns_xfrm结构来组织这些信息,也被称为xfrm实例( instance)(例子)。从名称可以看出,该实例与网络命名空间(network namespace)相关,每个命名空间都有一个彼此独立的实例。所以同一主机上的不同容器可以在没有干扰的情况下使用XFRM。struct net。
细说IPSec 密钥交换,(数字证书认证、PSK、数字信封)
pz641的博客
05-19 4005
在采用IKE动态协商方式建立IPSec隧道时,SA有两种:一种IKE SA,另一种是IPSec SA。建立IKE SA目的是为了协商用于保护IPSec隧道的一组安全参数,建立IPSec SA的目的是为了协商用于保护用户数据的安全参数,但在IKE动态协商方式,IKE SA是IPSec SA的基础,因为IPSec SA的建立需要用到IKE SA建立后的一系列密钥。本文介绍在IKE动态协商方式建立IPSec隧道时的基本工作原理。一、IKE动态协商综述手工方式建立SA存在配置复杂、不支持发起方地址动态变化、建立的
使用strongswan建立基于ikev2 eap-mschapv2的ipsec服务器
指点江山
04-17 4214
sudo apt-get install strongswan strongswan-pki strongswan strongswan-plugin-eap-mschapv2 strongswan-plugin-xauth-generic 跟据不同系统版本要安装的软件包有差异,但是第一个肯定是要装的 eap-mschapv2认证也是需要服务器证书的,不需要客户端证书,但也需要服务器证书所...
ssh-keygen -t rsa -C "xxx@xxx.com" 和ssh-keygen -t rsa的区别
11-30
ssh-keygen -t rsa -C "xxx@xxx.com" 和ssh-keygen -t rsa的区别在于,前者在生成密钥的同时会将指定的邮箱地址作为注释添加到公钥文件,方便用户识别该密钥的用途和所有者。而后者则不会添加注释信息。两者生成的密钥类型都是RSA。如果你不需要在公钥文件添加注释信息,可以使用ssh-keygen -t rsa命令生成密钥。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值