strongSwan穿越NAT与公网VSR对接IPsec配置案例

最新推荐文章于 2024-12-31 17:02:34 发布
最新推荐文章于 2024-12-31 17:02:34 发布
阅读量973 收藏 19
点赞数 6
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gtj0617/article/details/140240405
版权

1a7e872408e4dfbad5797ae1890da633.gif

正文共:555 字 7 图,预估阅读时间:1 分钟

通过上次的案例配置strongSwan和H3C VSR的IPsec对接案例,我们已经掌握了strongSwan和VSR基于IKEv1主模式进行对接的配置方法。有同学提出,实际使用中穿越NAT在所难免,其实这种也好解决,按照前面配置H3C的思路,我们调整对应的配置为野蛮模式+FQDN应该就可以了。

本次我们先把VSR作为公网端,strongSwan经过NAT设备和VSR进行对接。

照例,我们先调整VSR的配置:

#
ike keychain swan
 pre-shared-key hostname swan key simple swan
#
ike proposal 20
 encryption-algorithm aes-cbc-128
 dh group2
 authentication-algorithm sha256
#
ike profile swan
 keychain swan
 exchange-mode aggressive
 local-identity address 49.7.205.89
 match remote identity fqdn swan
 proposal 20
#
acl advanced 3402
 rule 0 permit ip source 172.30.1.0 0.0.0.255 destination 172.27.3.0 0.0.0.255
#
ipsec transform-set swan
 esp encryption-algorithm aes-cbc-128
 esp authentication-algorithm sha256
#
ipsec policy swan 10 isakmp
 transform-set swan
 security acl 3402
 local-address 172.30.3.19
 ike-profile swan
#
interface GigabitEthernet1/0
 ipsec apply policy swan

然后调整strongSwan的配置,主要是修改为IKEv1一阶段的交互模式为野蛮模式,并且修改身份验证为FQDN。

# cat /etc/strongswan/ipsec.conf
conn swan
  aggressive = yes
  authby = psk
  keyexchange=ikev1
  left= 192.168.222.131
  leftid=swan
  leftsubnet= 172.27.3.0/24
  right= 49.7.205.89
  rightid= 49.7.205.89
  rightsubnet= 172.30.1.0/24
  auto=route
  ike = aes128-sha256-modp1024
  esp = aes128-sha256
  ikelifetime=86400

配置预共享密钥到ipsec.secrets文件中。

# cat /etc/strongswan/ipsec.secrets
swan 49.7.205.89 : PSK swan

如果有进一步了解ipsec.conf和ipsec.secrets这两个配置的需求,可以参考strongSwan之ipsec.conf配置手册)和(strongSwan之ipsec.secrets配置手册

配置完成之后重新启动strongSwan服务。

strongswan restart

然后从strongSwan下连的主机发起访问请求。

21df1167d1c99f34852901fefa4600b0.png

访问失败,IKE一阶段协商成功,二阶段协商失败。

84f8a37236fbb5460ee1fac09d0c195a.png

从VSR上查看,也是一样的状态。

5bebff33c8b414ec544bcc440592b4df.png

对比之前的实验配置,应该是要换成IPsec模板试一下,把IPsec兴趣流也去掉。

#
ipsec policy-template swant 1
 transform-set swan
 local-address 172.30.3.19
 ike-profile swan
#
ipsec policy swan 10 isakmp template swant

再次触发IPsec协商,隧道建立成功。

9ff5565263293c4127fa86c8a6a8cca3.png

再次查看strongSwan状态,IKE第二阶段协商成功。

a1a82a2b1c9bd89046777caf1a32fa64.png

在VSR上查看IPsec SA信息。

5bb33724fb9fc669aa67d8f4ae3b6b06.png

不过有个地方我不太理解了,为啥开了ICMP超时报文发送功能和ICMP目的不可达报文发送功能之后,tracert路径还是会显示为*呢?

a2f440730c89f23d38997db99ffd0e81.png

梳理一下配置。strongSwan配置如下:

# cat /etc/strongswan/ipsec.conf
conn swan
  aggressive = yes
  authby = psk
  keyexchange = ikev1
  left= 192.168.222.131
  leftid = swan
  leftsubnet = 172.27.3.0/24
  righ t= 49.7.205.89
  rightid = 49.7.205.89
  rightsubnet = 172.30.1.0/24
  auto = route
  ike = aes128-sha256-modp1024
  esp = aes128-sha256
  ikelifetime = 86400
# cat /etc/strongswan/ipsec.secrets
swan 49.7.205.89 : PSK swan

VSR配置如下:

#
interface GigabitEthernet1/0
 ip address 172.30.3.19 255.255.255.0
 ipsec apply policy swan
#
ipsec transform-set swan
 esp encryption-algorithm aes-cbc-128
 esp authentication-algorithm sha256
#
ipsec policy-template swant 1
 transform-set swan
 local-address 172.30.3.19
 ike-profile swan
#
ipsec policy swan 10 isakmp template swant
#
ike profile swan
 keychain swan
 exchange-mode aggressive
 local-identity address 49.7.205.89
 match remote identity fqdn swan
 proposal 20
#
ike proposal 20
 encryption-algorithm aes-cbc-128
 dh group2
 authentication-algorithm sha256
#
ike keychain swan
 pre-shared-key hostname swan key simple swan

daf02301524b67d51f71292c1874b9df.gif

长按二维码
关注我们吧

96806595f3d1be7be770b9bea51d409e.jpeg

7900e74960a8568a51d5df3dcb3a792f.png

配置strongSwan和H3C VSR的IPsec对接案例

查看strongSwan配置IPsec的报文交互过程,捎带测一下转发性能

对比华三设备配置,讲解Linux主机如何配置strongSwan

ZTP自动化方式部署网络设备(篇三)

1分钟时间快速学习一下使用ISO镜像部署EVE-NG

分享一些关于防火墙的基础知识,你了解了吗?

常用VPN性能对比测试(IPsec、L2TP VPN、SSL VPN、L2TP over IPsec等)

一篇能解决90%以上SSL VPN问题的武林秘籍

Strongswan — 常用配置说明
烟云的计算
04-05 3163
目录 文章目录目录GRE over IPSec GRE over IPSec GRE over IPSec,首先通过 GRE 对报文进行封装,然后再由 IPSec 对封装后的报文进行加密和传输。协议栈结构如下: 这种做法实现了两个 Peer 之间安全,底层怎么路由,封装 IPsec 都不管。常见的 L2TP,譬如 IP over IP 等等,其实也都是属于这个范畴的。这种做法的缺点是两端需要单独再起一个服务来实现这些封装。 ...
strongswan_config:strongswan配置
06-04
strongswan_config
strongSwan配置
Jiajun Zhu
12-03 4373
测试环境使用两台VMware Fusion虚拟机,网络模式NAT模式,虚拟机主要配置:一个单核CPU、一块网卡、操作系统为CentOS 7 执行dhclient ens33 &后,vm1的ip为192.168.153.128,vm2的ip为192.168.153.130 创建vti vm1: ip tunnel add ipsec1 local 192.168.153.128 remot...
【亚马逊云】使用StrongSWAN 构建 AWS site-to-site VPN
最新发布
宝耶需努力的技术分享博客
12-31 1726
【亚马逊云】使用StrongSWAN 构建 AWS site-to-site VPN
Linux配置strongSwan
衡水铁头哥的博客
07-28 6941
strongSwan是一个开源的基于IPsec的VPN解决方案,最近要用到strongSwan对接其他系统的IPsec,不能贸然行动,先在Linux环境下测试一下相同环境下如何配置
Strongswan的部分配置
qq_47529104的博客
05-03 1202
配置文件 left为本机,right为对端 共享密钥文件
Strongswan 服务端配置
weixin_33720956的博客
07-07 1091
为什么80%的码农都做不了架构师?>>> ...
运维攻城狮面试题汇总
tian1345的博客
05-22 2万+
面试题汇总 什么是运维?什么是游戏运维? 1)运维是指大型组织已经建立好的网络软硬件的维护,就是要保证业务的上线运作的正常,在他运转的过程中,对他进行维护,他集合了网络、系统、数据库、开发、安全、监控于一身的技术,运维又包括很多种,有DBA运维、网站运维、虚拟化运维、监控运维、游戏运维等等 2)游戏运维又有分工,分为开发运维、应用运维(业务运维)和系统运维 开发运维:是给应用运维开发运维工具和运维平台的 应用运维:是给业务上线、维护和做故障排除的,用开发运维开发出来的工具给业务上线、维护、做故障排查 系
VSR公网对接strongSwan NAT穿越
衡水铁头哥的博客
07-28 1176
实际使用中穿越NAT在所难免,其实这种也好解决,按照前面配置H3C的思路,我们调整对应的配置野蛮模式+FQDN应该就可以了。
strongSwan.conf报错syntax error, unexpected ., expecting : or '{' or '=' [.] 解决办法
BLOG CodingJiang = new BLOG (“hello world”);
05-27 5882
版本更新旧的配置文件失效 解决办法: charon { load_modular=yes duplicheck.enable=no compress = yes plugins { include strongswan.d/charon/*.conf } dns1 ...
strongswan编译、配置
weixin_42548573的博客
06-23 5180
想知道怎么配置StrongSwan,首先要知道自己想搭建一个什么样的场景 在StrongSwan的官网上,我们可以在左侧找到TestScenarios,这里有许多场景,我们需要决定我们到底要再现哪一个。 进去之后点开strongSWan test suits: ...
StrongSwan安装部署、配置使用方法总结
sway913的博客
05-07 2万+
StrongSwan官网:https://www.strongswan.org/ 下载地址:https://www.strongswan.org/download.html 一、StrongSwan安装 1.编译安装 1.我习惯创建/opt/package目录,用于存放下载的程序包文件 [root@ecs-e84a package]# mkdir -p /opt/package...
使用StrongSwan配置IPSec
热门推荐
Xiaowo
03-22 5万+
使用StrongSwanIPSec进行研究,是一种很好的理解IPSec的实践。然而StrongSwan在使用的过程中实在是有太多的坑,网上的教程也多有不完整的地方,几乎没有能彻彻底底说明白每一步的,导致我在使用StrongSwan的过程中各种抓耳挠腮。程序员自然要造福程序员,在这里特将StrongSwan使用中所遇到的完整步骤记录下来,希望有所帮助。准备工作准备工作可不是简单地装个StrongSw
strongSwanipsec.conf – IPsec配置和连接
hhd1988的专栏
05-18 6009
配置文件描述 可选的ipsec.conf文件指定了strongSwan IPsec子系统的大多数配置和控制信息。 主要的例外是身份验证的机密;见ipsec.secrets(5)。其内容不是安全敏感的。 该文件是一个文本文件,由一个或多个部分组成。空格后跟“#”后跟任何到行末尾是注释,而被忽略,空行不包含在部分内。 包含include和文件名的行(由空格分隔)将替换为该文件的内容。 如果文件名不是完整路径名,则认为它包含包含文件的目录相关。 这种包含可以嵌套。 可能只提供一个文件名,它可能不包含空格,
配置strongSwan和H3C VSRIPsec对接案例
衡水铁头哥的博客
07-05 955
正文共:888 字 10 图,预估阅读时间:1 分钟strongSwan是一个开源的基于IPsec的VPN解决方案,经过前面几篇文章的铺垫,今天终于可以测试strongSwan和华三设备的对接情况了。strongSwan的默认安装路径是/etc/strongswan/,这里面比较重要的就是ipsec.conf和ipsec.secrets这两个配置文件了。这两个文件的配置已经指导过了,有需要的小伙伴...
strongswanipsec.conf 配置解析
pocher的博客
12-18 1396
`rightsubnet=11.252.0.0/16`:远程子网为11.252.0.0/16,表示只有该子网相关的流量才通过VPN。`leftauth=psk`和`rightauth=psk`指定了本地端和远程端使用预共享密钥进行身份验证。- `dpdaction=clear`:如果DPD失败,清除相关的SA和SPD条目。- `closeaction=clear`:连接关闭时清除相关的SA和SPD条目。- `ikelifetime=28800s`:IKE SA的生存期。
基于StrongswanIPSec部署
rainforest_c的博客
07-30 1万+
IPSec VPN部署1. 简介​ IPSec全称Internet Protocol Security,是通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议集,IPSec的主要用途之一就是VPN。要想了解IPSec VPN原理可以参考IPSecVPN.ppt。2. strongswanstrongswan是基于IPSec的VPN解决方案,它是一款开源软件,支持Linux 2
看了一次strongswan ipsec的设置.
塞子 迷糊地....
07-15 1521
测试使用 strongswan hillstone防火墙建立ipsec连接
strongSwanipsec命令手册
衡水铁头哥的博客
07-09 1687
正文共:1666 字 12 图,预估阅读时间:2 分钟前面我们在CentOS中安装了strongSwan(对比华三设备配置,讲解Linux主机如何配置strongSwan),可惜现在CentOS停服了(CentOS 7停服之后该怎么安装软件呢?),使用变得不那么方便了,临时的替换方案可以是使用Ubuntu系统(准备搞OpenStack了,先装一台最新的Ubuntu 23.10)。如果我们在Ubun...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值