看了一次strongswan ipsec的设置.

原创

已于 2023-07-15 15:16:17 修改 · 1.6k 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#linux

于 2023-07-15 15:04:11 首次发布

看了一次strongswan ipsec的设置.

这次的设置要求是:
Linux 中 strongwans与hillstone防火墙 stoneOS 建立ipsec连接.
network-network进行通信. 要求Linux可以同时与多台防火墙进行通信.

一网络结构如下:
linux
地址 192.168.100.252 内网段为 10.0.1.0/24
防火墙1
地址 192.168.100.253 网网段为 10.0.2.0/24
防火墙1
地址 192.168.100.254 网网段为 10.0.3.0/24

二设置
Linux端的设置:
Debian Linux 11 中运行 libstrongswan 5.9.1-1+deb11u3

apt-get install strongswan libcharon-extra-plugins
软件文档在 https://strongswan.org/

配置文件:
ipsec.conf

config setup

conn c1-c1
keyexchange=ikev1
#aggressive = yes
left=192.168.100.252
leftsubnet=10.0.1.0/24
rightsubnet=10.0.2.0/24
right=192.168.100.253
esp=aes256-sha256-modp1024
ike=aes256-sha256-modp1024
compress=no
rightauth=psk
leftauth=psk
auto=start

conn c2-c2
keyexchange=ikev1
aggressive = yes
left=192.168.100.252
leftsubnet=10.0.1.0/2

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

塞子

关注关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

网络协议 — IPSec 安全隧道协议族

烟云的计算

05-25

4302

安全封装协议（Encapsulating Security Payload，ESP）也是一种封装协议，与 AH 不同的是，ESP 会将 IP 数据包中的 Payload 进行加密后再封装到 IP 数据包，以保证数据的机密性，但 ESP 没有专门对 IP Header 的内容进行保护。在对身份保护要求较高的场合，则应该使用主模式。值得注意的是，IKE 不是简单的在网络上传输密钥，而是通过一系列数据的交换，最终计算出双方共享的密钥，并且即使第三者截获了双方用于计算密钥的所有交换数据，也不足以计算出真正的密钥。

Linux拨IPSec网络不通,ISAKMP/IPSEC SA协商成功但数据不通

weixin_32658257的博客

05-10

983

1、故障现象在路由器上查看isakmp sa和ipsec sa都已经成功建立，但通过ipsec保护的业务无法正常通信1)查看isakmp sa，成功建立：Ruijie#show crypto isakmp sadestination source state conn-id lifeti...

1 条评论您还未登录，请先登录后发表或查看评论

Ubuntu使用strongswan搭建ipsec vpn

kusanagi6666的博客

11-17

3031

strongswan搭建ipsec vpn

strongSwan：ipsec.conf – IPsec 的配置和连接

hhd1988的专栏

05-18

6377

配置文件描述可选的ipsec.conf文件指定了strongSwan IPsec子系统的大多数配置和控制信息。主要的例外是身份验证的机密；见ipsec.secrets（5）。其内容不是安全敏感的。该文件是一个文本文件，由一个或多个部分组成。空格后跟“#”后跟任何到行末尾是注释，而被忽略，空行不包含在部分内。包含include和文件名的行（由空格分隔）将替换为该文件的内容。如果文件名不是完整路径名，则认为它与包含包含文件的目录相关。这种包含可以嵌套。可能只提供一个文件名，它可能不包含空格，

如何在openwrt下编译ipsec隧道相关软件包并配置隧道

热门推荐

Xiaowo

03-22

5万+

使用StrongSwan对IPSec进行研究，是一种很好的理解IPSec的实践。然而StrongSwan在使用的过程中实在是有太多的坑，网上的教程也多有不完整的地方，几乎没有能彻彻底底说明白每一步的，导致我在使用StrongSwan的过程中各种抓耳挠腮。程序员自然要造福程序员，在这里特将StrongSwan使用中所遇到的完整步骤记录下来，希望有所帮助。准备工作准备工作可不是简单地装个StrongSw

strongswan的ipsec.conf 配置解析

pocher的博客

12-18

1610

`rightsubnet=11.252.0.0/16`：远程子网为11.252.0.0/16，表示只有与该子网相关的流量才通过VPN。`leftauth=psk`和`rightauth=psk`指定了本地端和远程端使用预共享密钥进行身份验证。- `dpdaction=clear`：如果DPD失败，清除相关的SA和SPD条目。- `closeaction=clear`：连接关闭时清除相关的SA和SPD条目。- `ikelifetime=28800s`：IKE SA的生存期。

解析下面shell代码：stop) # stopping a not-running service is considered as success echo "IPSEC_STARTER_PID: $IPSEC_STARTER_PID" > /dev/console if [ -e $IPSEC_STARTER_PID ] then echo "Stopping strongSwan IPsec..." >&2 spid=`cat $IPSEC_STARTER_PID` if [ -n "$spid" ] then kill $spid 2>/dev/null loop=110 while [ $loop -gt 0 ] ; do echo ipsec stop loop > /dev/console kill -0 $spid 2>/dev/null || break sleep 1 2>/dev/null if [ $? -ne 0 ] then sleep 1 loop=$(($loop - 9)) fi loop=$(($loop - 1)) done if [ $loop -le 0 ] then echo kill ipsec starter > /dev/console kill -KILL $spid 2>/dev/null rm -f $IPSEC_STARTER_PID fi fi else echo "Stopping strongSwan IPsec failed: starter is not running" >&2 fi if [ -d /var/lock/subsys ]; then rm -f /var/lock/subsys/ipsec fi exit 0 ;;

04-02

echo "Stopping strongSwan IPsec..." >&2 spid=$(cat $IPSEC_STARTER_PID) # 读取PID文件内容 if [ -n "$spid" ]; then # PID非空时处理 kill $spid 2>/dev/null # 发送SIGTERM信号（优雅终止） # 循环...

基于strongSwan配置预共享密钥的IPsec实验

ultra seven的博客

09-12

6498

实验环境 VMware Workstation 10.0.0 + ubuntu-18.04/16.04 + strongSwan 实验方案 1. 使用VMware创建2台虚拟机。 2. 每台虚拟机下载、编译、安装strongSwan。 3. 配置实验环境。 4. 验证实验结果。实验步骤 1.创建虚拟...

基于Strongswan的IPSec部署

rainforest_c的博客

07-30

1万+

IPSec VPN部署1. 简介 IPSec全称Internet Protocol Security，是通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议集，IPSec的主要用途之一就是VPN。要想了解IPSec VPN原理可以参考IPSecVPN.ppt。2. strongswan strongswan是基于IPSec的VPN解决方案，它是一款开源软件，支持Linux 2

strongSwan报文交互过程

衡水铁头哥的博客

07-28

2072

Connections可以理解为对等体信息，其中前3行是IKE对等体信息，有本端和对端的身份标识以及认证方式；最后一行child就是IPsec连接，模式为TUNNEL隧道模式，因为IPsec SA是基于IKE SA创建的，所以用child来表示也是比较合理的。...

配置strongSwan和H3C VSR的IPsec对接案例

衡水铁头哥的博客

07-05

1084

正文共：888 字 10 图，预估阅读时间：1 分钟strongSwan是一个开源的基于IPsec的VPN解决方案，经过前面几篇文章的铺垫，今天终于可以测试strongSwan和华三设备的对接情况了。strongSwan的默认安装路径是/etc/strongswan/，这里面比较重要的就是ipsec.conf和ipsec.secrets这两个配置文件了。这两个文件的配置已经指导过了，有需要的小伙伴...

strongSwan之ipsec.secrets配置手册

衡水铁头哥的博客

07-09

2115

strongSwan是一个开源的基于IPsec的VPN解决方案，ipsec.secrets是strongSwan的关键配置，文件保存了strongSwan IPsec子系统用于IKE身份验证的密钥表信息。这些密钥被strongSwan互联网密钥交换（Internet Key Exchange，IKE）守护程序pluto（IKEv1）和charon（IKEv2）用于验证其他主机。这些密钥必须被妥善保管，该文件应为超级用户所有，其权限应设置为阻止其他人的所有访问。...

strongSwan穿越NAT与公网VSR对接IPsec配置案例

衡水铁头哥的博客

07-06

1116

正文共：555 字 7 图，预估阅读时间：1 分钟通过上次的案例（配置strongSwan和H3C VSR的IPsec对接案例），我们已经掌握了strongSwan和VSR基于IKEv1主模式进行对接的配置方法。有同学提出，实际使用中穿越NAT在所难免，其实这种也好解决，按照前面配置H3C的思路，我们调整对应的配置为野蛮模式+FQDN应该就可以了。本次我们先把VSR作为公网端，strongSwan...

strongswan 搭建 IPSec 实验环境

yuyu的博客

09-09

1万+

使用两个CentOS7虚拟机，基于strongswan搭建IPSec VPN实验环境，通过是否配置加密算法，达到产生正常和非正常ESP数据包的目的。本篇为自己填坑记录。目录 1、准备两个CentOS7虚拟机 2、安装strongswan 3、修改配置文件 4、配置NAT 5、 scp模拟大流量场景 6、修改配置文件去掉加密算法 1、准备两个CentOS7虚拟机使其能相互ping通（192.168.220.139 ping 通192.168.220.140）实验拓扑如图： .

strongSwan配置

Jiajun Zhu

12-03

4444

测试环境使用两台VMware Fusion虚拟机，网络模式为NAT模式，虚拟机主要配置：一个单核CPU、一块网卡、操作系统为CentOS 7 执行dhclient ens33 &后，vm1的ip为192.168.153.128，vm2的ip为192.168.153.130 创建vti vm1： ip tunnel add ipsec1 local 192.168.153.128 remot...

strongswan libipsec

wq897387的专栏

03-15

666

strongswan libipsec相关学习笔记

strongswan：使用kernel-libipsec

hhd1988的专栏

07-01

1483

strongswan：使用kernel-libipsec

#include <strongswan/ipsec.h>

06-01

这是一个C/C++头文件，用于IPSec VPN的开发，包含了StrongSwan的IPSec实现的相关函数和结构体定义。StrongSwan是一个基于开源协议的VPN软件，提供了IPSec和IKEv2协议的实现，可以用于安全地连接不同的网络。这个头文件可以方便地在C/C++程序中调用StrongSwan的IPSec实现，实现VPN连接等功能。