Openwrt ipsec介绍

已于 2023-11-22 15:44:21 修改
阅读量4.4k 收藏 6
点赞数 3
文章标签: 网络协议 tcp/ip 物联网
于 2023-11-22 15:38:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Joal33/article/details/134554211
版权

Openwrt ipsec介绍

# 1.编译ipsec代码

openwrt 推荐使用strongswan实现ipsec,在openwrt中集成strongswan步骤如下:

1).make menuconfig选择Network -> VPN -> strongswan

2).进入stongswan子目录,其中包含strongswan的各种插件选项和一些默认插件组合的选项(如strongswan-default/strongswan-full等插件组合),strongswan-default具有基本的ipsec功能,选中strongswan-default实现基本ipsec功能;如果在openwrt制作ipsec认证证书,选中strongswan-pki,如果获取ike/esp的密钥(用来解码ike/esp数据),选中strongswan-mod-save-keys;其中openwrt默认没有save-keys插件,在Makefile中添加save-keys插件(Makefile位置:openwrt\package\feeds\packages\strongswan\Makefile),再menuconfig选中。

3).编译并烧录bin

2.运行ipsec

串口登入openwrt设置ipsec配置文件,涉及/ect/ipsec.conf、/etc/ipsec.secrets、/etc/strongswan.conf文件;ipsec有三种身份验证:预置共享密钥(PSK)、公钥验证、可扩展认证协议(EAP),用下图网络结构说明三种身份验证中如何设置strongswan配置文件。

其中板卡(Openwrt) 用usb (RNDIS)和虚拟机(VirtualBox)连接,enp0s17是虚拟机另一张网卡,假设虚拟机为服务端(或网关),板卡为客户端;Openwrt/ VirtualBox网卡信息如上。

1).预置共享密钥(PSK)

i).服务端配置

配置/etc/ipsec.conf和/etc/ipsec.secrets后输入ipsec restart重启ipsec。

ii).客户端配置

配置/etc/ipsec.conf和/etc/ipsec.secrets后输入ipsec restart重启ipsec。

等重启结束,输入ipsec statusall查看ipsec隧道是否建立,隧道正常建立如下,此时ping 10.0.2.15是能ping通的。

2).服务端证书认证,客户端EAP

i).对于证书认证,需要生成证书,步骤如下:

①生成CA证书

测试时,可在服务端/客户端生成CA证书。

②生成服务端证书和公私钥

③生成客户端证书和公私钥

后面还会介绍服务/客户端都使用认证的情况,所以这样将客户端证书和公私钥生成步骤一起介绍。

④安装证书

服务端安装证书

CA证书ca.cert.pem、服务端证书server.cert.pem、服务端私钥server.pem拷贝进如下目录:

客户端安装证书

客户端证书client.cert.pem、服务端公钥server.pub.pem、客户端私钥client.pem拷贝进如下目录:

ii). 服务端配置

配置/etc/ipsec.conf和/etc/ipsec.secrets后输入ipsec restart重启ipsec。

iii). 客户端配置

配置/etc/ipsec. Secrets和/etc/ipsec.conf后客户端输入ipsec restart重启ipsec,等重启结束,输入ipsec statusall查看ipsec隧道是否建立,正常建立后,ping 10.0.2.15是能ping通的。

3).证书认证

i). 服务端配置

配置/etc/ipsec.conf和/etc/ipsec.secrets后输入ipsec restart重启ipsec。

ii). 客户端配置

配置/etc/ipsec.conf和/etc/ipsec.secrets后输入ipsec restart重启ipsec;等重启结束,输入ipsec statusall查看ipsec隧道是否建立,隧道正常建立后,ping 10.0.2.15是能ping通的。

3.保存esp/ike keys

解密esp/ike数据,需要keys;保存keys需要添加save-keys插件,添加步骤参考“1.编译ipsec代码”的步骤2);在串口执行ipsec statusall看到save-keys已经加装进来;

在/etc/strongswan.conf文件中添加如下配置:

 

keys(esp_sa/ikev2_decryption_table)保存在/tmp/log目录,解密参考文献vi)。

注意:strongswan对save-keys plugin有如下一段描述:

save-keys插件仅用于调试,正式版本中不能包含save-keys插件。

4.virtual ip address

i).服务端配置

ii).客户端配置

iii).ipsec statusall

iv).建虚拟网卡

v).抓包

注:默认ipsec wireshak log加密,用3.保存esp/ike keys生成的esp_sa解密,解密方法:复制esp_sa到C:\Users\xxxxxx\AppData\Roaming\Wireshark,重新打开wireshark log。

5.参考资料

i). https://www.strongswan.org/testing/testresults/ikev2/acert-fallback/index.html

ii). https://docs.strongswan.org/docs/5.9/plugins/save-keys.html

iii). https://zhuanlan.zhihu.com/p/100535851

iv). https://openwrt.org/docs/guide-user/services/vpn/strongswan/basics?s[]=ipsec

v). https://blog.youkuaiyun.com/weixin_45134977/article/details/114031816

vi). https://blog.youkuaiyun.com/sinat_20184565/article/details/102845438

常见问题

编译错误:

1.选择strongswan-full编译报错

checking for ldap_init in -lldap... no

configure: error: LDAP library ldap not found

make[3]: *** [Makefile:600: /home/humaoliu/issue1/openwrt/build_dir/target-arm_cortex-a7+neon-vfpv4_uClibc-1.0.25_eabi/strongswan-5.9.0/.configured_yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyynyynyyyyyyyyyyyyyyyyyyyyynyyyynyyyyyyyyyyyyyy] Error 1

解决办法:

运行错误:

1.openwrt生成私钥出错

解决办法:

选中strongswan-mod-openssl

2.测试“服务端证书认证,客户端EAP”时配置文件设置正确,但ipsec statusall显示没有SA:

查看客户端日志,显示EAP method not supported:

解决办法:

选中strongswan-mod-eap- mschapv2

3.测试“证书认证测”时配置文件设置正确,但ipsec statusall显示没有SA:

查看客户端日志,显示收到服务端的AUTHENTICATION_FAILED信息:

再查看服务端日志(vim /var/log/syslog),其中有一段显示如下,说明客户端证书时间有问题:

解决办法:

校准客户端(openwrt)时间(插入sim卡),重新制作客户端证书

Roger_Hoo
关注
openwrt-21.02】VPN Passthrough系列之L2TP Passthrough实现
wgl307293845的博客
09-26 561
L2TP Passthrough
openwrt-21.02】VPN Passthrough系列之IPSec Passthrough实现
wgl307293845的博客
09-26 402
什么是VPN Passthrough?-优快云博客https://blog.youkuaiyun.com/wgl307293845/article/details/142463245?
详解 OpenWrt 防火墙配置、NAT配置
l00102795的博客
01-19 4040
OpenWrt内置防火墙介绍Openwrt 是一个 GNU/Linux 的发行版, Openwrt 的防火墙实现与Linux的防火墙是通过netfilter内核模块,加上用户空间的iptables管理工具;同样是五链四张表、五元素的管理框架。OpenWRT开发了一套与iptables同地位的netfilter管理工具fw3,这个工具侧重于从uci格式的配置文件中获取过滤信息下发到内核的netfilter中去。
几个好用的OpenWRT插件
热门推荐
Arthur Guo 的专栏
10-17 4万+
几个好用的OpenWRT插件
【笔记】openwrt - IPSec
LawssssCat的博客
11-30 8456
文章目录基础 + jvm- String- 1:分析: 基础 + jvm - String - 1: 分析: Part 0 : 完成测试代码 用 工具 javap -c StringEqualTest.class 反编译下面代码,分析 Part1 : String常量对比 /* * 1. 常量对比 */ String a = "cc" ; String b = "c...
使用openwrt搭建ipsec隧道
buhuidage的博客
01-26 2514
刚好手机拍下了日志,把日志往群里发了一下,细心的群友看出了问题点,然后我搜了一下这个函数是在哪个地方定义的,只需要我们去开一下对应的宏就行,然后重新编译了一下版本,发现连接上去了。我们直接去编译一下带ipsecopenwrt的固件,遇到问题也好解决一点,这里我选择的lean大佬的openwrt源码,源码链接如下,在国内我们玩openwrt的玩家基本都在用lean的代码,因为lean的代码适配了国内基本上常见的路由器固件,我们只需要make menuconfig开一下对应产品的宏就可以编译,非常简单上手。
openwrt-luci-ipsec:openwrt-luci-vpnd
07-11
openwrt-luci-vpnd openwrt-luci-vpnd
Iphone连接OpenwrtIPSEC服务器
胡同老道的博客
09-12 1万+
最近搭建了群晖的Moments服务,把家人的所有照片全部存储到NAS,然后删除了手机中的照片,省出了大量空间,家里的领导再也不抱怨手机空间不够了。 我是经常换手机,用手机自带的备份克隆或者换机助手,动不动就一两个小时才能把几十G照片搬到新手机,用了群晖,这个问题也解决了。 话说物极必反,没用几天,领导就抱怨在外面看到不以前的照片了,发了限期整改的通知,否则把每月零花钱从350降到200。 本着绝对不开历史倒车的技术理念,加上捉襟见肘的预算,排除了把照片...
openwrt ipsec内网
最新发布
02-22
### 配置OpenWRT上的IPSec以实现内网通信 为了使OpenWRT设备能够通过IPSec协议安全地与其他网络节点进行通信,需要完成一系列特定的配置工作。这些操作不仅涉及基础的网络参数设定,还包括启用并调整IKEv2/IPsec...
VPN技术指南:OpenVPN和IPsec的配置与管理
Echo_Wish
12-03 691
OpenVPN和IPsec是两种强大的VPN解决方案,通过合理配置和管理,可以有效提高数据传输的安全性和网络的可靠性。本文详细介绍了OpenVPN和IPsec的配置步骤和优化方法,希望能为读者提供有价值的参考。如果有任何问题或需要进一步讨论,欢迎交流探讨。让我们共同推动网络安全技术的发展,为现代信息社会的高效运作保驾护航。
openwrt-21.02】T750 openwrt-21.02 l2tp(no ipsec)拨号失败问题分析及解决方案
wgl307293845的博客
08-30 1655
第 2 层隧道协议 (L2TP) 是IETF基于L2F (Cisco的第二层转发协议)开发的PPTP的后续版本。L2TP支持在两端点间使用多隧道,用户可以针对不同的服务质量创建不同的隧道。但是当L2TP 或PPTP与IPSEC共同使用时,可以由IPSEC提供隧道验证,不需要在第2层协议上验证隧道使用L2TP。L2TP只要求隧道媒介提供面向数据包的点对点的连接,L2TP可以在IP(使用UDP),桢中继永久虚拟电路 (PVCs),X.25虚拟电路(VCs)或ATM VCs网络上使用。这里没有写入密码和用户名。
openwrt中搭建strongswan服务器vpn支持ipsec ikev2
初学者的专栏
10-31 1万+
请注意,这只是一个基本的配置示例,你可能还需要根据你的网络环境和需求进行一些额外的配置调整。强烈建议在实际部署之前阅读StrongSwan和OpenWrt的官方文档以获取更多信息和指导。编辑StrongSwan的IPsec预共享密钥配置文件。OpenWrt上StrongSwan VPN服务器的安装和配置。编辑StrongSwan的IPsec连接配置文件。编辑StrongSwan的主配置文件。打开终端或SSH连接到你的OpenWrt路由器。
openwrt strongswan IPSec IKEV2
季春贰柒的博客
02-24 2万+
前言:文章是作者基于一段时间的学习成果而写的,主要是为了记录下搭建VPN的过程以及遇到的一些麻烦错误,方便之后继续学习或者使用。当然如果能帮到一些读者自然是更好的。鉴于本人水平有限,文章之中难免会出现错漏不足之处,恳请批评指教、留言讨论。 学习过程中在网友文章中发现此图,诚不我欺(手动狗头)。 0.准备 俩台openwrt系统路由器、一部手机(安卓、苹果都行略有差别后续会说到)、阿里云服务器、 1.安装strongswan 这一步网上随意搜索就可以看到许多保姆级别教程,写得很详细。如果你实在懒得搜,轻移贵
openwrt_ipsec_function.sh 分析
dj443100的博客
06-20 737
#!/bin/sh # # Copyright (C) 2015 Vitaly Protsko <villy@sft.ru> errno=0 # get_fieldval gate src "$(/usr/sbin/ip route get $4)" # 获取字段的值,# # ip route get `nslookup www.xiaohuamao...
openwrt_ipsec_racoon.init 分析
dj443100的博客
06-20 553
racoon.init 脚本分析,基于openwrt 官方的脚本分析 #!/bin/sh /etc/rc.common # 包含了文件, 这个会继续分析 # # Copyright (C) 2015 Vitaly Protsko <villy@sft.ru> #set -vx USE_PROCD=1 # #在openwrt系统内init...
OpenWrt配置openVPN客户端
衡水铁头哥的博客
05-28 1万+
正文共:777 字 14 图,预估阅读时间:1 分钟我们现在已经部署好了单网卡的OpenWrtOpenWrt配置单臂路由模式),也安装了openVPN组件(OpenWrt部署配置openVPN服务器)。考虑到OpenWrt是Linux内核的,参考我们之前的经验(Ubuntu系统如何连接或断开openVPN),OpenWrt应该也可以作为openVPN客户端来向openVPN服务器发起连接。实际是...
ipsec入门
wsclinux的专栏
05-11 3339
IPsec VPN  编辑 什么是IPSec VPN?IPSec VPN即指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。 IPSEC是一套比较完整成体系的
openwrt配置strongswan对接hillstone ipsec的笔记
d9394952的博客
06-01 9669
一、主要参考资料: https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/roadwarrior https://openwrt.org/docs/guide-user/services/vpn/ipsec/strongswan/basic https://openwrt.org/docs/guide-user/s...
基于openwrt平台搭建局域网技术验证之二
caofengtao1314的专栏
06-29 3073
1、测试目的 验证l2tp服务器模式的可行性。 提供vpn-l2tp模式的服务器功能,供客户端连接访问内网 2、参考资料 参考连接1:https://www.jianshu.com/p/ccf8f2cca70e 参考连接2:https://openwrt.org/docs/guide-user/services/vpn/ipsec/openswan/openswanxl2tpvpn 3、测试过程 测试过程需要用到的资源: 路由器一个 win7系统电脑俩台 交换机一个 网线三根
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值