使用strongswan修改协商端口

最新推荐文章于 2024-02-20 20:09:30 发布
最新推荐文章于 2024-02-20 20:09:30 发布
阅读量7.7k 收藏 2
点赞数
分类专栏: strongswan
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xingyeping/article/details/51745110
版权
最近遇到个事情,有位朋友希望通过修改IKE的知名端口,他把IKE的协商端口改为1512。VPN可以建立,但是无法上网。
根据研究,发现中间有NAT,手机后续的NAT报文目的端口都是1512,然后内核不解密,直接丢该charon,charon就丢
掉了。
此时通过ip xfrm state看sa,发现encap里的端口就是1512。
后来尝试把nat-port也配置上个别的,发现还是不行,ip xfrm state里的端口还是1512,而且手机发的目的端口也还是1512.
再后来,尝试通过server做nat转换。
即仅设置IKE port为1512,然后server做一下下面的nat转换:
iptables -t nat -I PREROUTING -p udp --dport 1512 -j REDIRECT --to-ports 4500
这样就能上网了。其中这个条目不小心加了2次,没影响。
另外,此时再看xfrm state,发现encap端口变为了4500,但是抓包仍是1512的端口--这里不是很清楚,至少能上网了,就没有深究。
毕竟之前也遇到过xfrm设置udp端口却发现策略没有正确匹配的事情

但这个方法,可能会存在问题,如果所有的报文都变为了4500,那么 IKE的报文就无法正确处理了。重协商肯定就不行了。
必须重新建链。
xingyeping
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
正确搭建FTP与修改访问端口
07-17
搭建FTP ftp端口更改 ftp限制访问 禁用icmp数据包,ping回传结果
4. 根据UDP端口号抓IPsec协议默认的500/4500端口报文
阿群的笔记(同步备份自简书)
02-01 9826
根据UDP端口号抓IPsec协议默认的500/4500端口报文 另外, 根据IP报头之中的1个字节协议类型字段区分UDP/TCP UDP编码0x11=17 TCP编码为0x06=6 -- 另外, 抓IPsec/strongSwan包, 需要利用IPsec ESP协议编码为0x32=50: ip.proto=0x32 这种包不是UDP协议, 而是ESP协议(...
【记录】strongSwan\ipSec 修改IKEport
JY5292的博客
01-27 2646
搜了半天都没找到想要的答案,终于这篇的评论里的老哥给了我提示:https://blog.csdn.net/xingyeping/article/details/51745110 我是用的strongSwan版本:5.6.2 两步: 1.根据strongSwan官网wiki,可以找到ipsec.conf详细说明页面,其中关于协商端口的字段如下: left|rightikeport = <port> UDP port the left participant uses for IKE c
strongswan教程
最新发布
Jecci
02-20 577
4.配置服务器 B:在服务器 B 上,执行与服务器 A 相同的步骤,但是需要将 `left` 和 `right` 的值交换。例如,在 `/etc/ipsec.conf` 文件中。5.配置服务器 C:在服务器 B 上,执行与服务器 A 相同的步骤,但是需要将 `left` 和 `right` 的值交换。例如,在 `/etc/ipsec.conf` 文件中。在B上可以ping通A,但是不通C的私网。在C上可以ping通A,但是不通B的私网。在A上可以ping通,B和C的私网。A与B的2个私网网段相互通信,
修改oracle默认端口.txt
04-16
修改oracle大型数据默认端口,网络安全,按照步骤操作成功。
信息安全工程师(中级)—重要知识点总结
热门推荐
1ance's blog
11-02 1万+
中级信息安全工程师重要知识点;软考。
PPTP服务端与客户端 修改默认PPTP默认端口1723
01-26 5765
linux pptp服务端:我们在Linux下建立的pptpd端口号默认是1723,有时候这个端口并不是那么的好用,不是麽?所以服务端修改端口号比较简单 修改 /etc/services 文件查找 1723,然后将其修改为你想修改的数值,重启 pptpd即可. Windows PPTP客户端: 1、找到C:\WINDOWS\system32\drivers\etc,修改se...
SWAN之ikev2协议double-nat配置测试
redwingz的博客
11-05 1054
本测试主要验证分别位于NAT网关moon和sun之后的用户alice和bob建立连接的功能。其中由alice发起连接,moon网关执行SNAT变化,sun网关执行DNAT变化,strongswan在此情况下检测到NAT网关的存在,启用NAT-T功能。本次测试拓扑如下: alice主机配置 alice的配置文件:ikev2/double-nat/hosts/alice/etc/ipsec.conf...
IPsec与NAT Traversal(NAT-T)
品学楼A107
09-30 2652
背景 IPsec在两个通信实体之间建立安全的数据传输通道, 但它却与网络中广泛存在的NAT设备(以及PAT)有天生的不兼容性(incompatible)。 我们以一个TCP报文为例来看看在不同IPsec的不同模式(Transport和Tunnel)和协议(AH和ESP)下,这种不兼容是如何发生的。 先来看Transport模式 对AH协议,由于其Authenticate范围是整个IP报文,所以...
strongSwan报文交互过程
衡水铁头哥的博客
07-28 1518
Connections可以理解为对等体信息,其中前3行是IKE对等体信息,有本端和对端的身份标识以及认证方式;最后一行child就是IPsec连接,模式为TUNNEL隧道模式,因为IPsec SA是基于IKE SA创建的,所以用child来表示也是比较合理的。...
3389端口修改工具.bat
01-25
3389端口修改工具.bat
易语言修改远程端口
08-22
易语言修改远程端口源码系统结构:易语言修改远程端口源码,修改远程端口 ======启动窗口程序集 || ||------__启动窗口_创建完毕 || ||------_取数值注册项按钮_被单击
修改maven项目端口号的方法
08-27
今天小编就为大家分享一篇修改maven项目端口号的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
第6章 服务枚举
weixin_72849553的博客
12-28 962
服务枚举是数一种据采集工作,用于获取目标主机开放端口、操作系统和网络服务等有关信息。渗透人员通常会首先识别出在线的目标主机,然后再进行服务枚举。在实际渗透测试中,此阶段的工作属于探测过程的一部分。本章介绍下几个内容:● 端口扫描,及其端口扫描工具所支持的扫描类型;● 端口扫描工具;● 枚举Windows 系统SMB 服务的扫描工具;● 枚举SNMP服务的扫描工具;● 枚举虚拟专用网络(Virtual Private Network,VPN)的扫描工具。
[转] OpenStack Kilo 更新日志
weixin_34192993的博客
05-29 228
OpenStack 2015.1.0 (Kilo)更新日志 原文: https://wiki.openstack.org/wiki/ReleaseNotes/Kilo/zh-hans 目录  [隐藏]  1 OpenStack 2015.1.0 (Kilo)更新日志 1.1 OpenStack对象存储(Swift) 1.1.1 新功能 1.1....
strongswan ipsec 向内核下发SA和Policy部分
wq897387的专栏
03-29 1674
strongswan ipsec 向内核下发SA和Policy部分可以是kernel_netlink插件的方式实现的。
Centos 7.6 Strongswan的搭建及使用
小人物也有大梦想
04-17 8001
一、服务器准备 这个不用我说了吧,我在阿里云购买的香港的服务器。 二、软件安装以及证书生成 1、安装必要的软件(如果你也是在阿里购买的yum源不用配置) yum -y install gpm-devel pam-devel openssl-devel make gcc epel-release strongswan 设置别名 alias ipsec='strongswan' 进入软件目录 cd...
vrrp协商端口被mstp堵塞
05-13
VRRP协商端口是用于VRRP协议中的状态协商端口,而MSTP是用于防止网路环路的协议。如果VRRP协商端口被MSTP堵塞,可能是因为MSTP认为这个端口会引起环路而将其堵塞。 如果您需要使用VRRP协议,可以尝试以下几种方法: 1. 检查MSTP配置,确保VRRP协商端口未被堵塞。 2. 将VRRP协商端口配置为MSTP中的边缘端口,这样MSTP不会对其进行阻塞。 3. 如果您使用的网络交换机支持VRRPv3协议,可以考虑使用VRRPv3协议,它使用多播地址而不是VRRP协商端口进行状态协商,因此不会被MSTP堵塞。 希望这些方法可以解决您的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值