看了一次strongswan ipsec的设置.

已于 2023-07-15 15:16:17 修改
阅读量1.2k 收藏 1
点赞数 1
分类专栏: linux_ipsec 迷糊地 文章标签: linux
于 2023-07-15 15:04:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhanzc1/article/details/131739464
版权

看了一次strongswan ipsec的设置.

这次的设置要求是:
Linux 中 strongwans与hillstone防火墙 stoneOS 建立ipsec连接.
network-network进行通信. 要求Linux可以同时与多台防火墙进行通信.

一 网络结构如下:
linux
地址 192.168.100.252 内网段为 10.0.1.0/24
防火墙1
地址 192.168.100.253 网网段为 10.0.2.0/24
防火墙1
地址 192.168.100.254 网网段为 10.0.3.0/24

二 设置
Linux端的设置:
Debian Linux 11 中运行 libstrongswan 5.9.1-1+deb11u3

apt-get install strongswan libcharon-extra-plugins
软件文档在 https://strongswan.org/

配置文件:
ipsec.conf

config setup

conn c1-c1
keyexchange=ikev1
#aggressive = yes
left=192.168.100.252
leftsubnet=10.0.1.0/24
rightsubnet=10.0.2.0/24
right=192.168.100.253
esp=aes256-sha256-modp1024
ike=aes256-sha256-modp1024
compress=no
rightauth=psk
leftauth=psk
auto=start

conn c2-c2
keyexchange=ikev1
aggressive = yes
left=192.168.100.252
leftsubnet=10.0.1.0/24
rightsubnet=10.0.3.0/24
rightid=@254
esp=aes256-sha256-modp1024
ike=aes256-sha256-modp1024
compress=no
rightauth=psk
leftauth=psk
auto=start

配置说明.
连接 c1-c1(防火墙1)
使用ikev1. main模式. IPsec连接IP为192.168.100.252. 这端的网段是 10.0.1/0/24.
对端的网段是 10.0.2.0/24. 连接的对端为192.168.100.253
二阶段提议 aes256-sha256-modp1024. 一阶段提议 aes256-sha256-modp1024
两端的认证方式都为 psk

连接 c2-c2(防火墙2)
与防火墙1的差别在于. 使用野蛮模式. 对端使用FQDN名字做认证. 非主动连接.

在ipsec.secrets 分别设置好两个对端的认证psk.

防火墙1的设置
ikev1
接口
主模式
静态IP
对端地址 192.168.100.252
本地id ipv4 192.168.100.253
对端id ipv4 192.168.100.252
p1提议 psk-sha256-aes256-g2
psk ****

高级
发起者
NAT-T no

ipsec
tunnel
10.0.2.0/24 10.0.1.0/24 Any
p2提议 esp-sha256-aes256-g2 无压缩

防火墙2的设置
主要差别在 野蛮模式. 主动发起连接
本端的类型使用FQDN .值为 254

三 其他信息:

  1. strongswan与hillstone stoneOS中的 DH group写法不同.
    以下是IPsec中DH(Diffie-Hellman)组的信息:
    DH Group 1:使用768位素数p,提供大约80位的安全强度。
    DH Group 2:使用1024位素数p,提供大约100位的安全强度。
    DH Group 5:使用1536位素数p,提供大约120位的安全强度。
    DH Group 14:使用2048位素数p,提供大约112位的安全强度。
    DH Group 15:使用3072位素数p,提供大约128位的安全强度。
    DH Group 16:使用4096位素数p,提供大约150位的安全强度。
    DH Group 19:使用256位素数p,提供大约128位的安全强度。
    DH Group 20:使用384位素数p,提供大约192位的安全强度。
    DH Group 21:使用521位素数p,提供大约256位的安全强度。

  2. 个人感觉ike版本方面. 如果可能尽量使用v2版.

  3. strongswan直接写ipsec.conf的配置方法已经过时. 可以考虑学习一下swanctl. 我这里主要是进行一下测试就没花太多时间.

  4. strongswan 5.x中 默认不开启 野蛮模式的psk认证方式. 原因是安全问题.

Q: Does strongSwan support IKEv1 Aggressive Mode?
A: Since version 5.0.0 the answer is yes. However, the strongSwan developers still recommend to avoid its use with pre-shared keys. This is due to a known weakness of the protocol. With Aggressive Mode, a hash of the pre-shared key is transmitted in clear-text.
i_dont_care_about_security_and_use_aggressive_mode_psk = yes

四 一些废话
这次的配置只是进行简单测试. 目前没有实际使用. 就算是复杂一次ipsec相关的知识吧.
linux中 ike部分的程序有很多. 记得上次我看的还是 racoon.这次发现主流使用的程序已经是 strongswan了.

塞子
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基于strongSwan配置预共享密钥的IPsec实验
ultra seven的博客
09-12 6158
实验环境 VMware Workstation 10.0.0 + ubuntu-18.04/16.04 + strongSwan 实验方案 1. 使用VMware创建2台虚拟机。 2. 每台虚拟机下载、编译、安装strongSwan。 3. 配置实验环境。 4. 验证实验结果。 实验步骤 1.创建虚拟...
strongswan-master.zip
03-03
ipsec strongswan源代码
使用StrongSwan配置IPSec
热门推荐
Xiaowo
03-22 5万+
使用StrongSwanIPSec进行研究,是一种很好的理解IPSec的实践。然而StrongSwan在使用的过程中实在是有太多的坑,网上的教程也多有不完整的地方,几乎没有能彻彻底底说明白每一步的,导致我在使用StrongSwan的过程中各种抓耳挠腮。程序员自然要造福程序员,在这里特将StrongSwan使用中所遇到的完整步骤记录下来,希望有所帮助。准备工作准备工作可不是简单地装个StrongSw
查看strongSwan配置IPsec的报文交互过程,捎带测一下转发性能
最新发布
衡水铁头哥的博客
04-24 884
正文共:888 字 15 图,预估阅读时间:1 分钟通过上篇案例(对比华三设备配置,讲解Linux主机如何配置strongSwan),我们已经初步掌握了如何通过strongSwan配置两台Linux主机之间的IPsec隧道。今天我们再来看一下strongSwan配置IPsec的报文交互过程和转发性能。组网图还是上次的拓扑。首先查看一下在配置完strongSwan之后,还没有建立IPsec SA的状...
strongswanipsec.conf 配置解析
pocher的博客
12-18 713
`rightsubnet=11.252.0.0/16`:远程子网为11.252.0.0/16,表示只有与该子网相关的流量才通过VPN。`leftauth=psk`和`rightauth=psk`指定了本地端和远程端使用预共享密钥进行身份验证。- `dpdaction=clear`:如果DPD失败,清除相关的SA和SPD条目。- `closeaction=clear`:连接关闭时清除相关的SA和SPD条目。- `ikelifetime=28800s`:IKE SA的生存期。
基于StrongswanIPSec部署
rainforest_c的博客
07-30 1万+
IPSec VPN部署1. 简介​ IPSec全称Internet Protocol Security,是通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议集,IPSec的主要用途之一就是VPN。要想了解IPSec VPN原理可以参考IPSecVPN.ppt。2. strongswanstrongswan是基于IPSec的VPN解决方案,它是一款开源软件,支持Linux 2
strongSwan报文交互过程
衡水铁头哥的博客
07-28 1604
Connections可以理解为对等体信息,其中前3行是IKE对等体信息,有本端和对端的身份标识以及认证方式;最后一行child就是IPsec连接,模式为TUNNEL隧道模式,因为IPsec SA是基于IKE SA创建的,所以用child来表示也是比较合理的。...
centos7搭建基于strongswan ipsec的 l2tp服务器
08-22
centos7下搭建ipsec l2tp服务器,使用strongswan来构建ipsec.
IPSEC介绍.docx
01-28
IPSEC介绍.docx
ipsec笔记.docx
06-19
ipsec笔记.docx
Linux’s IPsec implementation.pdf
04-21
描述IPsecLinux下的实现及背景内容,包含LinuxIPsec工具,内核IPsec支持等内容。
IPsec端口管理
12-19
如果您想在电脑上封掉一个指定的端口怎么办?没安装网络防火墙?不要急,其实windows已经给我们集成了这个功能,只是有些朋友不会用。 今天向大家推荐一款具有图形界面样式的封端口工具,它就是“IPsec端口管理设置程序”,使用它您可以非常简单的对指定IP端口进行限制,开放,封闭只需简单设置即可!
strongSwanipsec.conf – IPsec 的配置和连接
hhd1988的专栏
05-18 5222
配置文件描述 可选的ipsec.conf文件指定了strongSwan IPsec子系统的大多数配置和控制信息。 主要的例外是身份验证的机密;见ipsec.secrets(5)。其内容不是安全敏感的。 该文件是一个文本文件,由一个或多个部分组成。空格后跟“#”后跟任何到行末尾是注释,而被忽略,空行不包含在部分内。 包含include和文件名的行(由空格分隔)将替换为该文件的内容。 如果文件名不是完整路径名,则认为它与包含包含文件的目录相关。 这种包含可以嵌套。 可能只提供一个文件名,它可能不包含空格,
strongSwanipsec.secrets配置手册
衡水铁头哥的博客
07-09 1555
strongSwan是一个开源的基于IPsec的VPN解决方案,ipsec.secrets是strongSwan的关键配置,文件保存了strongSwan IPsec子系统用于IKE身份验证的密钥表信息。这些密钥被strongSwan互联网密钥交换(Internet Key Exchange,IKE)守护程序pluto(IKEv1)和charon(IKEv2)用于验证其他主机。这些密钥必须被妥善保管,该文件应为超级用户所有,其权限应设置为阻止其他人的所有访问。...
strongSwan配置
Jiajun Zhu
12-03 4189
测试环境使用两台VMware Fusion虚拟机,网络模式为NAT模式,虚拟机主要配置:一个单核CPU、一块网卡、操作系统为CentOS 7 执行dhclient ens33 &后,vm1的ip为192.168.153.128,vm2的ip为192.168.153.130 创建vti vm1: ip tunnel add ipsec1 local 192.168.153.128 remot...
strongswan 搭建 IPSec 实验环境
yuyu的博客
09-09 8197
使用两个CentOS7虚拟机,基于strongswan搭建IPSec VPN实验环境,通过是否配置加密算法,达到产生正常和非正常ESP数据包的目的。本篇为自己填坑记录。 目录 1、准备两个CentOS7虚拟机 2、安装strongswan 3、修改配置文件 4、配置NAT 5、 scp模拟大流量场景 6、修改配置文件去掉加密算法 1、准备两个CentOS7虚拟机 使其能相互ping通 (192.168.220.139 ping 通192.168.220.140) 实验拓扑如图: .
H3C设备与Strongswan野蛮模式对接IPsec
weixin_43089784的博客
12-25 2395
华三侧主要配置: ike keychain a //野蛮模式,指的对端地址为0.0.0.0 match local address LoopBack0 pre-shared-key address 0.0.0.0 0.0.0.0 key simple 123 //共享秘钥123,对应centos主机/etc/strongswan/ipsec.secrets下的psk秘钥 ike proposal 1 //对应对应centos主机/etc/strongswan/ipsec.conf下ike3d
IPsec野蛮模式出现的原因
qq_47529104的博客
05-02 2822
原因概述 其主要原因是因为在早期IKEv1的相关设备没有实现使用除了IP地址之外的其他标识符去表示一个IPsec隧道的一端,所以这就导致了动态IP地址的IPsec隧道的某一端出现了地址变动之后将无法重新建立IPsec隧道。我们在配置了IPsec的时候,如果没有特定地指定标识符,在报文中发送的identity都是在配置命令中指定的IP地址,这就导致IKEv1的主模式是无法根据它们的标识去找到对应的共享密钥(因为是动态地址,所以地址变换之后先前的配置就无法生效了),但是野蛮模式在早期支持使用除了IP地址的方式
IPsec 点到点场景配置搭建
m0_57218686的博客
05-15 880
搭建IPsec站点到站点,认证方式为PSK,密钥交换协议为IKEv1
#include <strongswan/ipsec.h>
06-01
这是一个C/C++头文件,用于IPSec VPN的开发,包含了StrongSwanIPSec实现的相关函数和结构体定义。StrongSwan是一个基于开源协议的VPN软件,提供了IPSec和IKEv2协议的实现,可以用于安全地连接不同的网络。这个头文件可以方便地在C/C++程序中调用StrongSwanIPSec实现,实现VPN连接等功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值