![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
strongswan
xingyeping
这个作者很懒,什么都没留下…
展开
-
vxlan和IPsec结合使用
一、使用IPsec封装Vxlan报文如果希望Vxlan报文通过IPsec加密,可以通过ip xfrm命令在VM1和VM2上创建手工IPsec隧道来加密报文。配置如下:创建VM1的手工SA: ip xfrm state add src 192.168.233.180 dst 192.168.233.190 proto esp spi 0x00000301 mode tunnel auth原创 2016-05-09 15:37:18 · 6961 阅读 · 10 评论 -
ip xfrm配置nat穿越
环境:Linux CentOS4.5.3-1.el7.elrepo.x86_64VMWare虚拟机VM1--VM2,两个口直连。VM1:192.168.233.180;VM2:192.168.233.190.正常配置一个非NAT穿越报文封装的IPsec隧道,然后使用ping命令测试,没有问题,如下配置:ip xfrm state add src 192.1原创 2016-05-09 15:30:51 · 6111 阅读 · 2 评论 -
使用CentOS Linux Bridge搭建Vxlan环境
一、 基础环境使用VmWare虚拟两台Linux机器。CentOS 7,Linux内核如下:4.5.3-1.el7.elrepo.x86_64如果内核版本太低,是不支持VxLan的。可以使用一下命令进行内核升级rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org rpm -Uvh http://www.原创 2016-05-09 15:28:42 · 12634 阅读 · 1 评论 -
用xfrm创建手工SA并加密,使用wireshark查看解密后的报文。
首先使用xfrm命令创建SA信息。PC1:ip xfrm state add src 192.168.233.150 dst 192.168.233.151 proto esp spi 0x00000301 mode tunnel auth md5 0x96358c90783bbfa3d7b196ceabe0536b enc des3_ede 0xf6ddb555acfd9d77b原创 2016-04-29 14:39:46 · 5086 阅读 · 0 评论 -
Strongswan与Andriod野蛮模式L2TPoverIPsec对接有时候不成功。
不成功的时候strongswan打印如下:Dec 17 13:55:12 05[ENC] generating AGGRESSIVE response 0 [ SA KE No ID V V V NAT-D NAT-D HASH ]Dec 17 13:55:12 05[NET] sending packet: from 192.168.0.132[500] to 192.168.0原创 2015-12-17 14:02:16 · 3431 阅读 · 0 评论 -
Strongswan5.3.5与Android5.0.2(小米)野蛮模式的L2TPoverIPsec的对接
野蛮模式需要改一下strongswan的agg的载荷顺序,否则android不认第二条回包[root@- etc]# cat ipsec.conf# /etc/ipsec.conf - strongSwan IPsec configuration fileconfig setupconn %defaultikelifetime=60mkeyl原创 2015-12-17 09:16:18 · 3070 阅读 · 0 评论 -
Strongswan5.3.3与Android5.0.2(小米) 主模式的对接L2TPoverIPsec
ipsec.conf:# /etc/ipsec.conf - strongSwan IPsec configuration fileconfig setupconn %default ikelifetime=60m keylife=20m rekeymargin=3m keyingtries=1 keyexchange=原创 2015-12-17 09:15:12 · 4665 阅读 · 0 评论 -
IKEv1 MainMode Cert 代码流程梳理
初始的配置如下:Initiator:config setup conn %default ikelifetime=60m keylife=20m rekeymargin=3m keyingtries=1 keyexchange=ikev1 conn rw left=PH_IP_MOON leftcert=moonCert.pem leftid=@moon.strongswan.原创 2015-12-11 15:38:37 · 1421 阅读 · 0 评论 -
credentials 中的validator和encoding
链表顺序plugincred_encoder_tcred_encoding_type_t4pksc1pkcs1_encoder_encodeKEYID_PUBKEY_INFO_SHA1KEYID_PUBKEY_SHA1PUBKEY_ASN1_DERPUBKEY_SPKI_ASN1_DERPUBKEY_RSA_MODULUSPRIVKEY_AS原创 2015-12-10 14:41:28 · 497 阅读 · 0 评论 -
IKEv1主模式证书协商中对证书相关载荷的处理。
认证方式为 RSA signatures 3 ---- RFC2409 中有描述被动方先发送Certificate Request (7)报文,携带的Certificate Type:x.509 Certificate -Signature (4)具体到代码流程任务isakmp_cert_pre.c 、 isakmp_cert_post.cthis->stat原创 2015-12-09 10:42:36 · 841 阅读 · 0 评论 -
带openssl plugin的credential_factory
Dec 8 13:27:46 00[LIB] loaded plugins: charon pkcs11 aes des rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp xcbc原创 2015-12-08 19:19:27 · 555 阅读 · 0 评论 -
默认plugins的情况下credential_factory里的构造器
loaded plugins: charon aes des rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem fips-prf gmp xcbc cmac hmac attr kernel-netlink resolve原创 2015-12-08 19:18:24 · 516 阅读 · 0 评论 -
IKEv1 主模式证书方法协商的载荷交互流程
INITIATOR RESPONDERSA V-xauth V-dpd V-nat-t V-nat-t-ike-02 SA V-xa原创 2015-12-08 19:15:39 · 1913 阅读 · 0 评论 -
MOBIKE----IKEv2 Mobility and Multihoming Protocol
想要解决的问题:当客户端的IP地址(隧道封装模式的外层IP)或者服务端的IP地址有变化时,不重新协商就能工作。场景:客户端是一个移动设备,从一个接入点换到另一个接入点;服务端提供多种接入方式:有线或无线,直接切换。为什么不直接重建呢?因为有时候认真比较麻烦,比如需要密钥令牌,总是切换会让用户很烦吧。限制:只能是隧道模式,且两遍必须有一边IP是不变的。在nat的情况下,只能发起端处在na原创 2015-12-08 19:11:34 · 3060 阅读 · 0 评论 -
进程启动与动态加载库信息
通过ipsec start命令启动ipsec 实际是一个可执行脚本,放在/usr/local/sbin下,他实际调用了/usr/local/libexec/ipsec/目录下的starter。通过ldd命令可以查看相关进程的依赖库信息。[root@flexbng-dev ipsec]# lltotal560-rwxr-xr-x.1 root原创 2015-12-08 19:07:18 · 1436 阅读 · 0 评论 -
如何使用GDB显示不同C文件中的同名结构体内容
先list 该文件中的function,然后再打印该结构体。如:(gdb) p *(entry_t*)0x7fda00004a00$22 = {type = CRED_CERTIFICATE, subtype = 32730, final = 2, constructor = 0x7fda00000000}(gdb) list auth_cfg.c:add489 490原创 2015-12-08 19:10:29 · 872 阅读 · 1 评论 -
使用strongswan修改协商端口
最近遇到个事情,有位朋友希望通过修改IKE的知名端口,他把IKE的协商端口改为1512。VPN可以建立,但是无法上网。根据研究,发现中间有NAT,手机后续的NAT报文目的端口都是1512,然后内核不解密,直接丢该charon,charon就丢掉了。此时通过ip xfrm state看sa,发现encap里的端口就是1512。后来尝试把nat-port也配置上个别的,原创 2016-06-23 17:09:26 · 7795 阅读 · 2 评论