ubuntu5-ubuntu采用strongswan模拟ipsec并enable-save-keys抓取ike/esp加密信息

最新推荐文章于 2025-09-23 10:36:55 发布
原创 最新推荐文章于 2025-09-23 10:36:55 发布 · 2.6k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ubuntu

部署运行你感兴趣的模型镜像

一、背景拓扑

(1)本文主要目的是描述如何在一台windows宿主机内通过VMware安装两台虚拟机(ubuntu)后,使两台ubuntu进行互通且采用strongswan搭建ipsec隧道并enable-save-keys抓取ike/esp加密信息。
(2)如果资金允许,可以采购一台支持ipsec功能的路由器对接一台ubuntu虚拟机搭建ipsec隧道,看起来应该会更直观些。而且不用考虑太多的虚拟机网卡绑定关系,会很方便。

二、前置条件

(1)VMware1-windows安装VMware
https://blog.youkuaiyun.com/rfc2544/article/details/122144690
(2)VMware2-VMware安装ubuntu
https://blog.youkuaiyun.com/rfc2544/article/details/122144908
(3)VMware4-VMware安装的两台ubuntu如何underlay互通
https://blog.youkuaiyun.com/rfc2544/article/details/124550885
(4)ubuntu1-ubuntu基础配置
https://blog.youkuaiyun.com/rfc2544/article/details/122146101?spm=1001.2014.3001.5502
(5)ubuntu2-ubuntu更换源
https://blog.youkuaiyun.com/rfc2544/article/details/122152450?spm=1001.2014.3001.5502

三、安装strongswan

由于两台ubuntu虚拟机安装步骤基本一致,所以取其中一台进行截图描述,另一台不再赘述。

3.1 联网需求

首先保证ubuntu虚拟机可以访问互联网。

3.2 切换工作目录并下载strongswan安装包

cd /usr/bin
wget https://download.strongswan.org/strongswan-5.8.2.tar.bz2

3.2 解压 strongswan安装包

tar xjvf strongswan-5.8.2.tar.bz2

解压后多了一个strongswan的文件夹

3.3 切换工作目录并configure进行配置

这里的参数–prefix指的是程序安装的目录,–sysconfdir参数指的的StrongSwan的配置文件路径。-enable-save-keys表示使能保存ike/esp加密信息插件。

cd strongswan-5.8.2
./configure --prefix=/usr --enable-save-keys --sysconfdir=/etc

请注意这个save-keys,如果没有的话会导致无法抓取到ike/esp的解密信息,请重做此步骤。

 

3.3.1 报错1解决方法

据说是因为新安装的ubuntu系统没有安装C编译器,安装上就好了。

3.3.2 报错2解决方法

在我的环境是只用输入第二条就可以了,其他环境请自行排查。

3.4 编译安装

稍等几分钟,编辑时间较长

make && sudo make install

3.5 安装完成

在/etc下可以看到2个strongswan的,3个ipsec的即可说明已安装成功。

4、配置strongswan

配置strongswan需要配置三个地方,分别是ike/esp加密信息抓取输出、ipsec配置、pre-psk预共享密钥配置。具体如下。

4.1 ike/esp加密信息抓取输出

test虚拟机和ubuntu虚拟机,此处配置一致。

root@ubuntu:/etc# vim /etc/strongswan.conf

 

4.2 ipsec配置

地址互指

root@ubuntu:/etc# vim /etc/ipsec.conf

4.3 pre-psk预共享密钥配置

地址互指

root@ubuntu:/etc# vim /etc/ipsec.secrets

 

5、启动strongswan建立ipsec连接

net-net是步骤4.2的conn连接名称

5.1 ipsec首次建立不成功

配置完成后首次建立ipsec不成功,将test虚拟机和ubuntu虚拟机重启再建立就好了,未发现原因。

6、解密

在/tmp下,可以获取本次ike/esp的加密信息

7、参考资料-感谢

官网:安装方法
https://docs.strongswan.org/docs/5.9/install/install.html
官网:版本说明
https://packages.ubuntu.com/search?keywords=strongswan&searchon=names&suite=all&section=all
官网:ipsec.conf各字段说明
https://wiki.strongswan.org/projects/strongswan/wiki/ConnSection
strongswan ipsecon.conf+secrets方式,预共享密钥
https://blog.youkuaiyun.com/kakabuqinuo/article/details/100766365
strongswan ipsecon.conf+secrets方式,预共享密钥,configure时多参数选择
https://www.zhangqiongjie.com/2473.html
strongswan ipsecon.conf+secrets方式,预共享密钥,云上使用注意安全事项
https://www.h3399.cn/201906/702086.html
strongswan ipsecon.conf+secrets方式,证书
https://blog.youkuaiyun.com/puppylpg/article/details/64918562
strongswan ipsecon.conf方式,预共享密钥和证书
https://www.howtoing.com/strongswan-based-ipsec-vpn-using-certificates-and-pre-shared-key-on-ubuntu-16-04/
wireshark查看strongswan ipsec esp ikev1 ikev2的加密内容
https://blog.youkuaiyun.com/sinat_20184565/article/details/102845438
https://www.cnblogs.com/hugetong/p/10150992.html
strongswan插件的load加载流程
https://www.cnblogs.com/hugetong/p/10981346.html
https://www.cnblogs.com/collapsar/p/9999753.html
strongswan swanctl方法
https://zhuanlan.zhihu.com/p/100535851
https://www.hqyman.cn/post/543.html
http://blog.chinaunix.net/uid-192452-id-5847016.html

您可能感兴趣的与本文相关的镜像

Wan2.2-T2V-A5B

Wan2.2-T2V-A5B

文生视频
Wan2.2

Wan2.2是由通义万相开源高效文本到视频生成模型,是有​50亿参数的轻量级视频生成模型,专为快速内容创作优化。支持480P视频生成,具备优秀的时序连贯性和运动推理能力

ubuntu14.04编译安装strongswan
wwwangdeqqq的博客
08-31 4087
因为需要在strongswan基础上做些二次开发的东西,需要将自己修改后的代码添加进strongswan后再编译运行。而ubuntu中 apt-get install 命令来安装strongswan是已经用编译好的包来安装的,无法达到修改代码的目的。另外由ubuntu编译好的包版本较低,目前是5.1.x版本,而strongswan官网上5.4.0版本已经发布。那么,追求新版本或指定版本安装就可以使
strongswan ipsec环境搭建及swanctl.conf配置含ca证书配置(tunnel模式,ah封装,rsa认证)
weixin_43190642的博客
12-24 9170
vm1:192.168.182.144 host1:192.168.182.254 9.94.189.225 host2:9.94.189.226 192.168.152.254 vm2:192.168.152.132 环境如图所示,两台物理机充当网关,分别启动一台虚拟机组成局域网。 一、虚拟机启动 使用qume脚本启动,关键信息-enable-kvm -display none -cpu host -smp 4 -m 4096 -kernel KaTeX p
Ubuntu上设置L2TP over IPsec
最新发布
ouyangwujun的专栏
09-23 1844
这种组合方式称为L2TP over IPsec,它结合了L2TP的隧道能力和IPsec加密功能,从而确保数据在公共网络上的安全传输。在Ubuntu上配置好L2TP over IPsec VPN后,可以通过NetworkManager添加一个新的VPN连接,配置相应的服务器地址、用户名、密码和预共享密钥。‌防火墙阻止VPN端口‌:确保防火墙允许VPN使用的端口(如1701、500、4500等)。可以使用ip a命令查看是否获取到了VPN分配的IP地址,以及使用ping命令测试与VPN内部网络的连通性。
IPsec 点到点场景配置搭建
m0_57218686的博客
05-15 1379
搭建IPsec站点到站点,认证方式为PSK,密钥交换协议为IKEv1
ubuntu安装strongswan
changgongzhao的专栏
11-21 827
ubuntu strongswan
Ubuntu使用strongswan搭建ipsec vpn
kusanagi6666的博客
11-17 3573
strongswan搭建ipsec vpn
strongSwanipsec.secrets - 用于IKE/IPsec身份验证的机密
hhd1988的专栏
05-18 2442
ipsec.secrets包含一个机密表。这些机密被StrongSwan的网络密钥交换(IKE)守护程序pluto(IKEv1)和charon(IKEv2)使用,来验证其他主机。
IPSec -加密算法与ESP协议,安全关联SA
2403_87902721的博客
07-27 1368
IPSec:互联网安全协议Security)是一个协议包,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议簇(一些相互关联的协议的集合)。是IETF提出的使用密码学保护IP层通信的安全保密架构,是一个协议簇,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议簇。IPSec可以实现以下4项功能:①数据机密性:IPSec发送方将包加密后再通过网络发送。②数据完整性:IPSec可以验证IPSec发送方发送的包,以确保数据传输时没有被改变。
小结:ipsec-ike
weixin_44719499的博客
05-01 1106
IPSec 手动配置与自动配置(IKE动态协商)fill:#333;color:#333;color:#333;fill:none;开始手动定义参数静态SPI值固定密钥无IKE协商直接建立SA流量匹配ACL时加密通过SPI+密钥加解密隧道维持至手动删除fill:#333;人工同步SPI和密钥镜像配置\n spi inbound=1002 outbound=1001\n hex-key相同数据包+ESP头(SPI=1002)\nAES-256加密/SHA-256认证。
阿里云 ubuntu16.04搭建IPSec服务
09-14
IPSec协议族包括多种协议,如IKE(Internet Key Exchange)用于密钥管理,ESP(Encapsulating Security Payload)用于数据加密,以及AH(Authentication Header)用于数据完整性检查。IPSec不仅适用于IPv4,也适用于...
[ipsec][strongswan] 使用wireshark查看strongswan ipsec esp ikev1 ikev2的加密内容
weixin_30892889的博客
12-20 1325
一,编译,启用strongswansave-keys plugin ./configure --prefix=/root/OUTPUT --exec-prefix=/root/OUTPUT --enable-save-keys CFLAGS="-g -O0" 运行之前验证一下,是否加载了这个插件 [root@T9 OUTPUT]# ./sbin/swanctl --stat ...
ubuntu在docker容器中安装strongswan
changgongzhao的专栏
04-16 1341
1.起动一个ubuntu容器,我是用的docker compose启动的,compose的配置文件为ipsec-strongswan.yml。连接成功的话显示connection ‘uk2’ established successfully。我的配置已经在compose文件里加载了,所以不配了。查看docker服务的网络。再安装一些常用的软件。
Ubuntu16.04 安装 strongSwan
TAJIAODAVID的博客
09-28 4219
目录1、说明2、下载strongSwan5.9.0版本(目前最新)3、解压缩,进入到目录4、使用一些可用选项来配置strongSwan5、编译和安装6、通过ipsec验证安装是否成功 1、说明 参考官网 https://wiki.strongswan.org/projects/strongswan/wiki/InstallationDocumentation 2、下载strongSwan5.9.0版本(目前最新) wget http://download.strongswan.org/strongswa
ubuntu16.04编译安装测试strongswan(RSA)
mingpeng520的博客
06-29 600
1.参考https://blog.youkuaiyun.com/puppylpg/article/details/64918562 今天研究一下net2net-RSA。 前提条件,仿照我原来发的微博。net2net-psk模式已经验证OK的环境下。再来研究net2net-RSA 不过他提供的组网图 和 组网模式 还是不错的。可以照搬。 2.https://blog.youkuaiyun.com/puppylpg/article/details/64918562 在配置方面有几个问题需要注意一下,不然调试不成功 一 CA证书(认证
strongswan5.1.2 on ubuntu14.04 (net-net with psk)
mounter625的专栏
05-21 2179
The network topology: client1: ubuntu14.04 server  eth0 ip: 10.1.0.10/24         ---->c1 client2: ubuntu14.04 server  eth0 ip: 10.2.0.10/24         ---->c2 gateway1: ubuntu14.04 server eth1 ip: 1
ubuntu16.04编译安装测试strongswan
mingpeng520的博客
06-19 1358
1.参考https://blog.youkuaiyun.com/puppylpg/article/details/64918562 配置net2net-psk 其中sudo apt-get install strongswan 这个不靠谱。最后执行sudo ipsec up net-net会报错 DH group selection failed 暂时无法解决。放弃。 不过他提供的组网图 和 组网模式 还是不错的。可以照搬。 2.参考https://blog.youkuaiyun.com/kakabuqinuo/arti
Linux(Ubuntu21)配置IPsec/L2TP 客户端
热门推荐
caojia12345678的博客
06-12 1万+
Ubuntu21.04当作IPsec/L2TP客户端,连接VPN服务器。
Ubuntu Server 22.04 上配置 L2TP/IPSec 连接
Ruan_9264的博客
09-24 3990
确保你的网络设置正确,且目标服务器 (192.168.96.6) 可访问。如果遇到问题,请检查日志文件。
ubuntu 配置strongswan client
fick777的专栏
06-14 4338
ubuntu 配置strongswan client google找到的链接 strongswan official wiki 这是一个图形化工具? 希望这几个页面能解决我的问题,回家试试。
crypto ipsec transform-set myset esp-3des esp-md5-hmac
08-25
### 配置 IPsec 变换集使用 3DES 和 MD5 认证 在配置 IPsec 以实现数据加密和完整性验证时,`crypto ipsec transform-set` 命令用于定义变换集,即 IPsec 安全协议的加密和认证方式。若需使用 3DES 加密算法和 MD5 消息认证码(HMAC)进行数据完整性验证,可采用以下配置: ```bash crypto ipsec transform-set myset esp-3des esp-md5-hmac ``` 该配置定义了一个名为 `myset` 的变换集,使用 ESP 协议中的 `esp-3des` 算法进行加密,同时使用 `esp-md5-hmac` 算法进行数据完整性验证。3DES 是一种对称加密算法,提供较强的数据加密能力,而 MD5 HMAC 则用于确保数据在传输过程中未被篡改,从而实现基本的认证功能。 该配置与引用中的内容一致,其中也定义了类似的变换集,在后续的 `crypto map` 中引用了该变换集用于 IPsec 通信的匹配策略[^1]。 ### 配置要点与注意事项 - **加密与认证算法的匹配**:在 IPsec 隧道两端的设备上,必须配置相同的变换集,否则会导致 IPsec SA 建立失败。 - **变换集的命名**:变换集名称(如 `myset`)可以自定义,但需确保在后续引用时保持一致。 - **与 ISAKMP 策略的配合**:变换集属于 IPsec Phase 2 的配置部分,需与 ISAKMP(IKE Phase 1)策略配合使用,以完成完整的 ××× 建立过程。 在引用配置中,该变换集 `myset` 被用于 `crypto map mymap` 中,与访问控制列表 `101` 结合,仅允许特定源和目的网络的数据流通过 IPsec 隧道传输[^1]。 ### 示例配置 以下是一个完整的配置示例,结合 ISAKMP 策略与 IPsec 变换集: ```bash crypto isakmp policy 1 encryption 3des authentication pre-share group 2 lifetime 86400 crypto isakmp key 7 151b5f72467e7a address 13.1.0.1 crypto ipsec transform-set myset esp-3des esp-md5-hmac crypto map mymap 1 ipsec-isakmp set peer 13.1.0.1 set transform-set myset match address 101 ``` 上述配置定义了 ISAKMP 策略、预共享密钥、IPsec 变换集及加密映射,通过访问控制列表 `101` 控制需要加密的数据流。 --- ###
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值