基于openswan klips的IPsec实现分析(十一)NAT穿越

最新推荐文章于 2021-12-24 23:35:22 发布
原创 最新推荐文章于 2021-12-24 23:35:22 发布 · 4.3k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ESPinUDP #klips #nat穿越 #Openswan #openswan

本文详细介绍了openswan klips如何处理IPsec与NAT穿越的问题,主要通过UDP封装解决冲突。在数据发送过程中,openswan在加密前获取端口信息,并在加密后的IP数据包外添加UDP头。接收端,内核通过添加补丁处理UDP包,将控制权交给openswan klips。此外,文章提到了相关数据结构和函数的修改,包括natt_type和natt_head的使用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

基于openswan klips的IPsec实现分析(十一)NAT穿越

转载请注明出处:http://blog.youkuaiyun.com/rosetta

    本节介绍openswan klips的NAT穿越,应用层IKE协商时的NAT在以后的文章再做介绍。

简介

IPsec和NAT的冲突

    NAT服务器对内网来的数据包,需要修改其源地址和源端口为服务器自身的地址和端口,然后才将其进行转发。这种修改破坏了IPsec数据的完整性,导致接收方验证失败;另外,对于ESP封装的数据包,端口信息已经被加密,NAT服务器无法获得,使得NAT转换无法进行下去。这就是IPsec和NAT之间的冲突。

    最常见的解决这种冲突的办法,就是UDP封装,即在IPsec协议数据包外包裹一层UDP头,这样NAT修改的东西就仅仅局限于UDP头内部了,不会损伤IPsec数据。

    openswan对NAT穿越的支持就是采用UDP封装:

    数据发送过程,依据natt_type类型及UDP长度是否已经赋值给natt_head来决定是否需要进行穿越处理;

    数据接收过程,因为接收UDP包是由内核接收处理的,openswanklips的首要工作就是给内核打补丁,在处理UDP包时加入自己的处理函数。

 

控制宏

#define CONFIG_IPSEC_NAT_TRAVERSAL

 

结构体成员

#ifdef CONFIG_IPSEC_NAT_TRAVERSAL

__u8        natt_type;

   __u16       natt_sport;//源端口

   __u16       natt_dport;//目的端口

      int       natt_len;

#endif 

 natt_type 类型:ESPINUDP_WITH_NON_IKE、ESPINUDP_WITH_NON_ESP。

发送过程:

         在数据加密之前首先需要获取端口等必要信息,否则进行ESP加密后就无法获取。需要加密的数据完成加密后,封装UDP信息的操作是在ipsec_tunnel_start_xmit()函数尾部的ipsec_tunnel_restore_hard_header()函数中进行的。

 

int  ipsec_tunnel_start_xmit(structsk_buff *skb, struct net_device *dev)

{

……

stat = ipsec_xmit_encap_bundle(ixs);//加密IP数据包

……

        

         stat=ipsec_tunnel_restore_hard_header(ixs);

         if(stat!= IPSEC_XMIT_OK) {

         }

 

         stat= ipsec_tunnel_send(ixs);//发送数据

 

         return0;

}

 

enum ipsec_xmit_value

ipsec_tunnel_restore_hard_header(structipsec_xmit_state*ixs)

{

         ……

#ifdef CONFIG_IPSEC_NAT_TRAVERSAL

         if(ixs->natt_type && ixs->natt_head) {

                   structiphdr *ipp = ixs->skb->nh.iph;

                   structudphdr *udp;

                   KLIPS_PRINT(debug_tunnel& DB_TN_XMIT,

                                "klips_debug:ipsec_tunnel_start_xmit:"

                                "encapsuling packet into UDP(NAT-Traversal) (%d %d)\n",

                                ixs->natt_type, ixs->natt_head);

                   //以ESP隧道,ICMP数据,3DES_MD5为例。

                   ixs->iphlen= ipp->ihl << 2;//IP首部长度(不太任何选项的首部)。5*4=20Byte

                   ipp->tot_len=  htons(ntohs(ipp->tot_len) +ixs->natt_head); //112B+8B=120B

                   if(skb_tailroom(ixs->skb)< ixs->natt_head) {

                            printk(KERN_WARNING"klips_error:ipsec_tunnel_start_xmit: "

                                     "triedto skb_put %d, %d available. "

                                     "Thisshould never happen, please report.\n",

                                     ixs->natt_head,

                                     skb_tailroom(ixs->skb));

                            ixs->stats->tx_errors++;

                            returnIPSEC_XMIT_ESPUDP;

                   }

                   skb_put(ixs->skb,ixs->natt_head);//在skb中腾出UDP首部大小空间。

 

                   udp= (struct udphdr *)((char *)ipp + ixs->iphlen);

 

                   /*move ESP hdr after UDP hdr */

             

最低0.47元/天 解锁文章

200万优质内容无限畅学
15、网络地址转换(NAT)IPSec:构建安全的网络通信
pink7的博客
06-17 38
本文详细介绍了NATIPSec的基本原理、应用场景、配置方法以及结合使用时的最佳实践,探讨了如何通过合理的配置和安全策略提升网络通信的安全性。文章还涉及优化技巧、高级应用以及入侵检测系统(IDS)和蜜罐等安全设备的应用,为构建更安全的网络环境提供了全面指导。
31、深入理解Netfilter与IPsec:原理、方法与应用
最新发布
omega的博客
07-12 9
本文深入探讨了Linux内核中的Netfilter和IPsec子系统,详细解析了Netfilter的核心机制、钩子方法、连接跟踪机制及其扩展模块,同时介绍了IPsec的工作模式、IKE协议、XFRM框架以及数据包的处理流程。通过结合代码示例与实际应用场景,帮助读者全面理解Netfilter与IPsec的原理、实现方式及其在网络环境中的应用。
openswan klips数据加解密过程
终身学习的程序猿
06-15 1676
本文档的Copyleft归rosetta所有,使用GPL发布,可以自由拷贝、转载,转载时请保持文档的完整性。         klips实现IP数据包的安全接受或发送的进程。在内核域中运行,主要负责控制管理SA及密钥,同时处理数据包的加密和解密工作。 数据加密过程:         ipsec_tunnel_start_xmit()                 ->ipsec_
openswan--NAT穿越配置篇
guoyangbill的博客
01-29 2458
为了是openswan支持nat穿越,需要在nat_traversal=yes 配置。对于NETKEY方式,是自动支持的,对于KLIPS,是必须大nat-t补丁的。   keep_alive=option 选项可以保活ipsec conn,这个作用是保证NAT路由器不会删除连接状态。   rightsubnet=vhost:%no,%priv  其中priv表示virtural_private
OpenswanNAT穿越分析
王以山的专栏
05-28 2752
IPsecNAT之间的冲突缘由 NAT服务器对内网来的数据包,需要修改其源地址和源端口为服务器自身的地址和端口(或者其他NAT方式),然后才将其进行转发。这种修改破坏了IPsec数据的完整性,导致接收方验证失败;另外,对于ESP封装的数据包,端口信息已经被加密,NAT服务器无法获得,使得NAT转换无法进行下去。这就是IPsecNAT之间的冲突。 最常见的解决这种冲突的办法,就是UD
基于openswan klipsIPsec实现分析(五)应用层和内核通信(2)
终身学习的程序猿
06-18 3007
基于openswan klipsIPsec VPN实现分析(五)应用层和内核通信——内核操作 转载请注明出处:http://blog.youkuaiyun.com/rosetta 在数据发送一节讲过,加载模块时会执行pfkey_init()初始化与用户层通信的PF_KEY套接字,在这个函数里会把支持的协议和算法加到pfkey_supported_list[]全局数组中,并在soc
基于openswan klipsIPsec实现分析(九)加密算法维护
终身学习的程序猿
06-18 3641
基于openswan klipsIPsec VPN实现分析(九)加密算法维护 转载请注明出处:http://blog.youkuaiyun.com/rosetta 本节将介绍klips加密算法的维护,并介绍如何增加新加密算法的支持,下一节将讲认证算法维护和增加。 这里说的加密算法是指对称加密算法,是在通信过程中对传送的信息加解密时使用的,比如:AES,3DES,sm4等。
基于openswan klipsIPsec实现分析(六)应用层SADB操作
终身学习的程序猿
06-18 3806
基于openswan klipsIPsec VPN实现分析(六)应用层SADB操作 转载请注明出处:http://blog.youkuaiyun.com/rosetta 这里的操作是指由openswan的密钥管理守护进程pluto对于内核SADB的操作。如下来至rfc2367的密钥关联程序和PF_KEY的关系图。
openswan源码ubantu下编译、安装、基本环境搭建
遇见你是我最美丽的意外
04-30 9647
openswan的编译过程 1. 下载源码: 对于openswan源码,我们是从官网上下载的。这里提供两个不同的网站: 专门下载openswan源码的网站 ​ openswan官网1源码下载 openswan官网页面 ​ openswan官网2源码下载 2. 在虚拟机上解压后编译: 我解压后的源码目录为:root@ubantu:/usr/src/openswan-2.6.51.5#...
IPsec/Openswan连接各地机房的内网
Phoenix's blog
02-24 3454
<br /> <br />各地机房逐渐增多,每个机房都有几台机器,只通过外网IP进行机房之间的数据传输很麻烦,所以考虑用VPN把所有机房连接起来,由于没有一个合适的中心点,于是选择各地机房两两配对连接。看了一下OpenVPN和IPsecIPsec因为是在内核中进行的,性能稍微好一些,配合Openswan配置也不复杂。<br /> <br />目前的2.6内核都自带了Netkey模式,虽然没有KLIPS配置功能强,但是也足够用了。<br /> <br />假设有三个机房,节点用的机器选择每个网段的第一个IP
Openswan 做Linux ipsec *** 服务器()
weixin_33910460的博客
08-09 210
二RSA认证方式 ()net-to-net连接方式 1网络环境 Left networkß---àleft GateWayß-----|------àRight Gatewayß----àRight network 192.168.1.0/24eth0:192.168.1.1...
基于openswan klipsIPsec实现分析(二)数据接收
终身学习的程序猿
06-18 3559
基于openswan klipsIPsec VPN实现分析之数据接收 转载请注明出处:http://blog.youkuaiyun.com/rosetta   接收数据解密和加密发送数据处理基本相似,无非就是逆过程。   Klips对接收数据的处理流程如下:   数据解密过程(以esp为例)   ipsec_rcv() ->ipsec_rcv_decap()
openswan klips代码分析--(1)初始化流程
u013920085的专栏
01-19 1040
Klipsopenswan自带实现IPsec功能的模块,其主要实现数据加解密、安全关联、密钥管理、身份认证等功能,并以.ko模块插入到内核中运行。
基于openswan klipsIPsec实现分析(一)数据发送
终身学习的程序猿
06-18 6866
基于openswan klipsIPsec VPN实现分析之数据发送 转载请注明出处:http://blog.youkuaiyun.com/rosetta   Klipsopenswan自带实现IPsec功能的模块,其主要实现数据加解密、安全关联、密钥管理、身份认证等功能,并以.ko模块插入到内核中运行。   Klips对外出数据的处理流程如下:   相关函数调用过程如下:
openswan ipsec使用注意事项总结
bytxl的专栏
03-26 1974
允许外网对内网网段的访问 设置防火墙,用来转发所有对内网主机的访问包: iptables -A FORWARD -j ACCEPT
openswan配置IPSec(tunnel模式,esp封装,rsa认证)
weixin_43190642的博客
12-24 3647
vm1:192.168.182.144 host1:192.168.182.254 9.94.189.225 host2:9.94.189.226 192.168.152.254 vm2:192.168.152.132 环境如图所示,两台物理机充当网关,分别启动一台虚拟机组成局域网。 一、虚拟机启动 使用qume脚本启动,关键信息: -enable-kvm -display none -cpu host -smp 4 -m 4096 -kernel KaTeX .
在centos上使用openswan搭建IPSec***
weixin_33757609的博客
03-02 1635
背景:因公司业务逐渐迁移到阿里云上,所以有需求搭建一条从公司内容到阿里云的×××隧道,因环境限制并未有***设备可以使用,所以计划在linux上搭建ipsec***来实现该功能。拓扑图如下:目的:在阿里云服务器172.16.0.11和公司服务器192.168.6.79之间建立一条ipsec ***隧道。实现两端私网网段的互访。其中私网地址分别是:172.16.0.11/16和...
openswan-ipsec.conf的配置说明
Zhang.Y的专栏
12-15 8801
原文出处:http://www.cnblogs.com/rayz/p/3669319.html Name ipsec.conf - IPsec configuration and connections Description The optional ipsec.conf file specifies most configuration and control infor
IPSEC_KLIPSDEBUG(8) - 设置KLIPS调试选项
Rain
07-24 877
IPSEC_KLIPSDEBUG NAME ipsec_klipsdebug - 设置KLIPS调试选项 SYSNOPSIS ipsec klipsdebug     ipsec klipsdebug --set flagname     ipsec klipsdebug --clear flagname    
Openswan ipsec
02-21
### Openswan IPsec 配置与故障排除 #### 安装 Openswan 对于基于 Debian 的系统,可以使用如下命令来安装 Openswan: ```bash sudo apt-get update && sudo apt-get install openswan ``` 对于 Red Hat 或 CentOS 系统,则应执行以下操作以获取并安装软件包[^1]: ```bash sudo yum install epel-release sudo yum install openswan ``` #### 基本配置文件结构 主要的配置位于 `/etc/ipsec.conf` 文件内。此文件定义了安全关联(SAs),即两个端点之间的加密通信协议。一个典型的设置可能看起来像这样: ```plaintext config setup plutodebug=all protostack=netkey conn myconnection authby=secret auto=start type=tunnel left=<local_IP> leftsubnet=<local_subnet> right=<remote_IP> rightsubnet=<remote_subnet> ``` 上述片段中的 `left` 和 `right` 参数分别指代本地和远程网关地址;而 `leftsubnet` 及 `rightsubnet` 则表示要保护的数据流所涉及的具体子网络范围。 为了使这些更改生效,在编辑完成后需重启服务: ```bash sudo systemctl restart ipsec.service ``` 或者在较旧版本上可能是这样的命令: ```bash sudo service ipsec restart ``` #### 故障排查技巧 当遇到连接失败的情况时,查看日志是一个很好的起点。通常可以在 `/var/log/syslog` (Debian/Ubuntu) 或者 `/var/log/messages` (RedHat/CentOS) 中找到相关信息。特别关注带有 "pluto" 字样的条目,因为这是负责建立 SA 的守护进程的名字。 如果发现密钥协商存在问题,尝试调整 debug 设置以便获得更详细的输出: ```plaintext plutodebug="all" ``` 这会增加调试信息量,有助于识别潜在问题所在之处[^2]。 另外值得注意的是防火墙规则也可能阻碍正常工作。确保允许 UDP 500 (ISAKMP/IKE)以及 ESP 协议通过,并且如果有 NAT 情况下还需要开放 UDP 4500 端口用于NAT-T功能支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值