Strongswan使用过程中的坑

已于 2024-07-15 08:40:54 修改
阅读量1.8k 收藏 30
点赞数 14
分类专栏: linux 文章标签: linux 网络安全
于 2024-07-14 22:39:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53036603/article/details/140423336
版权

最近使用strongswan搭建ipsec环境,遇到了很多问题,查阅了大量资料和文档,做了大量尝试,将一些细节整理出来。本文假设读者有一定的基础知识,也清楚strongswan怎么安装和配置。

1. 证书部署或更新后,必须重启strongswan服务

使用证书进行身份验证是搭建Ipsec环境时最常用的一种技术,证书的生成可以向第三方CA机构申请,也可以自己使用自签名CA根证书来签发。本文采用后一种方式。strongswan使用pki工具来创建证书,

1)创建CA自签名根证书及私钥文件:

#ipsec pki --gen --outform pem > ca.key.pem
#ipsec pki --self --in ca.key.pem --dn "C=CN, O=StrongSwan, CN=StrongSwan CA" --ca --outform pem > ca.cert.pem

2)生成用户私钥文件,并用上面生成的根证书签发用户证书,假设两端的IP分别是192.168.171.129(作为client)、192.168.171.131(作为server),

sudo ipsec pki --gen --size 4096 --type rsa --outform pem > server.key.pem
sudo ipsec pki --pub --in server.key.pem --type rsa | ipsec pki --issue --lifetime 3650 --cacert ca.cert.pem --cakey ca.key.pem --dn "CN=192.168.171.131" --san="192.168.171.131" --flag serverAuth --flag ikeIntermediate --outform pem > server.cert.pem

sudo ipsec pki --gen --size 4096 --type rsa --outform pem > client.key.pem
sudo ipsec pki --pub --in client.key.pem --type rsa | sudo ipsec pki --issue --lifetime 3650 --cacert ca.cert.pem --cakey ca.key.pem --dn "CN=192.168.171.129" --san="192.168.171.129" --flag serverAuth --flag ikeIntermediate --outform pem > client.cert.pem

3)将生成的证书分别拷贝到ipsec的证书存放目录,需要拷贝的文件如下:

对192.168.171.129这个client

# cp ca.cert.pem /etc/ipsec.d/cacerts/ca.cert.pem
# cp client.key.pem /etc/ipsec.d/private/client.key.pem
# cp client.cert.pem /etc/ipsec.d/certs/client.cert.pem

 对192.168.171.131这个server

# cp ca.cert.pem /etc/ipsec.d/cacerts/ca.cert.pem
# cp server.key.pem /etc/ipsec.d/private/server.key.pem
# cp server.cert.pem /etc/ipsec.d/certs/server.cert.pem

拷贝完成后,双方就能通过证书建立ipsec通道,但需要注意一个问题,证书部署完成后,或者更新过,并不会立即生效,必须重启strongswan服务(strongswan-starter)才能生效。

# systemctl restart strongswan-starter.service

你也可以通过 ipsec restart来实现重启服务。另外,为了确保证书已经部署到位,你可以使用ipsec listcerts命令来查看已经部署好的证书:

图中圈出来的地方,尤为重要,如果证书没有部署好,或私钥文件与证书不匹配,这里是没有这句话的。证书部署后没有重启服务,或者证书部署错误,都会为后面的建立连接带来不可预料的问题,所以强烈建议大家通过ipsec listcerts命令检查自己部署的证书。

2.证书中的CN字段非常重要

创建证书时,我们会通过参数设定CN字段的值,这个值可以算作证书的一个标识,通常我们可以设置为IP地址、域名、甚至email、随便一个唯一字符串。但这里设置的内容,一定要对应到ipsec.conf文件中的leftid(或rightid)。strongswan会通过leftid(或rightid)来匹配证书,如果不一致,就会出错,无法通过验证。例如,按上面生成的证书,ipsec.conf文件正确的配置如下:

对192.168.171.129这个client

# ipsec.conf - strongSwan IPsec configuration file
# basic configuration

config setup
        # strictcrlpolicy=yes
        # uniqueids = no

conn %default
    ikelifetime=60m
    keylife=20m
    rekeymargin=3m
    keyingtries=1
    keyexchange=ikev2
    auto=add

conn host-host

    left=192.168.171.129
    leftid=192.168.171.129
    leftcert=client.cert.pem

    right=192.168.171.131
    rightid=192.168.171.131

 对192.168.171.131这个server

# ipsec.conf - strongSwan IPsec configuration file
# basic configuration
config setup
        charondebug="ike 1, knl 1, cfg 0, net 1"
        strictcrlpolicy=no
        uniqueids=no
        cachecrls=no

conn %default
     ikelifetime=60m
     keylife=20m
     rekeymargin=3m
     keyingtries=1
     keyexchange=ikev2
     auto=add

conn ipsec-ikev2-vpn
     left=192.168.171.131
     leftid=192.168.171.131
     leftcert=server.cert.pem

     right=192.168.171.129
     rightid=192.168.171.129
     rightauth=pubkey

其中leftcert就是证书的名称,leftid就是证书的标识,这个标识一定要和创建证书时设定的CN一致。

当然CN也不一定设置为IP,也可以设置为域名、email等,甚至一个特殊字符串都可以,只要不重复即可。

3. ipsec与 swanctl

The stroke utility is a small helper tool invoked by the ipsec command to control and monitor IPsec connections.

ipsec命令是stroke插件提供的管理ipsec连接的工具。目前已经被swanctl替代。但大量的资料和demo是使用这种方式。它使用的配置文件是:

/etc/ipsec.conf

swanctl is a command line utility to configure, control and monitor the IKE charon daemon via the vici interface plugin.

swanctl是vici插件提供的新一代的strongswan的管理控制工具,它使用的配置文件是:

 /etc/swanctl/swanctl.conf

这两个命令互不相干,配置文件也各自独立,互不相关。你可以选择只用一种,或两种都使用也没关系。也就是说,如果使用ipsec来控制strongswan,你就需要配置/etc/ipsec.conf文件,并将证书、私钥等文件拷贝到/etc/ipsec.d/目录下的对应位置; 如果你使用swanctl命令来控制strongswan,你就需要配置/etc/swanctl/swanct.conf文件,并将证书、私钥等文件拷贝到/etc/swanctl/目录下的对应位置。如果你修改了ipsec.conf文件,然后用swanctl命令来操作,就完全在做无用功。

4. 修改配置文件后必须reload

修改了ipsec.conf文件后,必须使用 ipsec reload命令来重新加载配置文件。

修改了ipsec.secrets文件后,必须使用ipsec rereadsecrets来加载。

修改了swanctl.conf文件后,必须使用 swanctl --load-all来加载。

否则,不起作用!

成都渔民
关注
专栏目录
strongswan Ubuntu 服务端修改 IKEv2 协议握手端口号
天苍野茫
08-07 1161
在 Ubuntu 22.04 搭建 strongSwan 服务端,并且修改 IKEv2 协议的握手端口 4500
从零开始搭建strongswan
B★R★S的博客
12-21 1万+
转眼一年就这么过去了,补下之前说到的手动搭建strongswan,免得拖到明年。 准备工作 一台linux服务器,这里以Debian10为例 strognswan安装包,官网下载,我用的是5.9.1 一.安装strongswan 1) 更新,添加依赖: apt update -y apt install libpam0g-dev libssl-dev make gcc curl tcpdump -y 2) 解压: 将strongswan安装包上传到linux服务器,解压后进入安装目录 t
strongswan5.6.3
07-03
基于IPSec协议的源代码的实现,如果想好好学习了解IPsec的原理,strongswan是个很好的选择
五、IPSec开源项目strongSwan
小脑斧的博客
08-15 8733
strongSwan是一套完整的IPsec开源实现方案,用来提供服务端和客户端之间的加密和认证。
Centos 7.6 Strongswan的搭建及使用
小人物也有大梦想
04-17 8897
一、服务器准备 这个不用我说了吧,我在阿里云购买的香港的服务器。 二、软件安装以及证书生成 1、安装必要的软件(如果你也是在阿里购买的yum源不用配置) yum -y install gpm-devel pam-devel openssl-devel make gcc epel-release strongswan 设置别名 alias ipsec='strongswan' 进入软件目录 cd...
StrongSwan测试环境概述
redwingz的博客
10-24 3382
有关StrongSwan测试环境的搭建可参见:https://blog.csdn.net/sinat_20184565/article/details/100900670 由于已经搭建好了测试环境,将配置文件(strongswan-5.8.1/testing/testing.conf)以下四项关闭,不用每次执行make-testing的时候,都进行创建,节省时间。 # Enable partic...
StrongSwan安装部署、配置使用方法总结
热门推荐
sway913的博客
05-07 2万+
StrongSwan官网:https://www.strongswan.org/ 下载地址:https://www.strongswan.org/download.html 一、StrongSwan安装 1.编译安装 1.我习惯创建/opt/package目录,用于存放下载的程序包文件 [root@ecs-e84a package]# mkdir -p /opt/package...
基于Strongswan的IPSec部署
rainforest_c的博客
07-30 1万+
IPSec VPN部署1. 简介​ IPSec全称Internet Protocol Security,是通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议集,IPSec的主要用途之一就是VPN。要想了解IPSec VPN原理可以参考IPSecVPN.ppt。2. strongswanstrongswan是基于IPSec的VPN解决方案,它是一款开源软件,支持Linux 2
strongSwan - Configuration Guide
weixin_34326429的博客
04-19 339
strongSwan - Configuration Guide ...
strongSwan.conf报错syntax error, unexpected ., expecting : or '{' or '=' [.] 解决办法
BLOG CodingJiang = new BLOG (“hello world”);
05-27 5776
版本更新旧的配置文件失效 解决办法: charon { load_modular=yes duplicheck.enable=no compress = yes plugins { include strongswan.d/charon/*.conf } dns1 ...
strongswan
weixin_33935777的博客
03-31 351
StrongSwan is an open source IPsec-based VPN Solution. It supports both the IKEv1 and IKEv2 key exchange protocols in conjunction with the native NETKEY IPsec stack of the Linux kernel. This tutorial ...
strongswan源代码
02-02
strongswan源代码
strongSwan-2.2.1.apk
02-15
2020.2.15日以前Android 最新版本,大家可以去strongswan官网下载,strongswan.org。
strongswan 配置过程与问题
琪花亿草
04-24 2万+
过程参考:https://blog.csdn.net/gaojinshan/article/details/508205131.1 生成证书1)生成CA的密钥和证书:ipsec pki --gen --outform pem > caKey.pem ipsec pki --self --outform pem --in caKey.pem --dn "C=CN, O=TJ, CN=Tes...
strongswan android编译过程
琪花亿草
04-18 5426
过程过程参考:https://wiki.strongswan.org/projects/strongswan/wiki/AndroidVPNClientBuild1 准备工作:安装所需要的软件包:参考:https://wiki.strongswan.org/projects/strongswan/repository/entry/HACKINGFor interested developers...
strongSwan报文交互过程
衡水铁头哥的博客
07-28 1776
Connections可以理解为对等体信息,其前3行是IKE对等体信息,有本端和对端的身份标识以及认证方式;最后一行child就是IPsec连接,模式为TUNNEL隧道模式,因为IPsec SA是基于IKE SA创建的,所以用child来表示也是比较合理的。...
strongswan调试(negotiated DH group not supported)
bingyu的博客
10-11 1455
strongswan调试(negotiated DH group not supported) 解决办法: Makefile,增加–enable-gmp的参数 如: 编译libgmp的库 编译openssl的库 编译完成后,会多几个文件 /etc # ls /etc/strongswan.d/charon/gmp.conf /etc/strongswan.d/charon/gmp.con...
strongswan介绍
wq897387的专栏
03-12 2万+
strongswan介绍文档翻译
strongSwan:软件安装简介
hhd1988的专栏
05-18 1万+
在ubuntu20.04上 ,strongSwan安装有两种途径: 1、下载源码编译安装 2、图形界面安装
如何使用strongswan
最新发布
05-17
StrongSwan是一种开源的IPSec VPN解决方案,用于实现安全的远程访问和站点到站点连接。以下是使用StrongSwan的基本步骤: 1. 安装StrongSwanLinux系统上,可以使用包管理器安装StrongSwan。例如,在Debian或Ubuntu上,可以使用以下命令: ``` sudo apt-get install strongswan ``` 2. 配置StrongSwan StrongSwan的配置文件位于/etc/ipsec.conf。将以下配置添加到配置文件,以定义VPN连接: ``` conn my-vpn left=%defaultroute leftsubnet=0.0.0.0/0 right=<VPN服务器IP> rightsubnet=<VPN服务器子网> authby=secret auto=start ``` 其,left和leftsubnet定义本地计算机的IP地址和子网,right和rightsubnet定义VPN服务器的IP地址和子网。authby指定身份验证方法,这里使用预共享密钥,auto=start指定启动VPN连接。 3. 配置预共享密钥 预共享密钥用于身份验证。将以下配置添加到/etc/ipsec.secrets,以定义预共享密钥: ``` <本地计算机IP> <VPN服务器IP> : PSK "<预共享密钥>" ``` 其,本地计算机IP是本地计算机的IP地址,VPN服务器IP是VPN服务器的IP地址,预共享密钥是您选择的共享密钥。 4. 启动VPN连接 使用以下命令启动VPN连接: ``` sudo ipsec restart ``` 这将启动StrongSwan服务并启动VPN连接。要停止VPN连接,可以使用以下命令: ``` sudo ipsec stop ``` 这是使用StrongSwan的基本步骤。有关更多详细信息,请参阅StrongSwan文档。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值