strongswan配置使用(一)
安装strongswan
https://github.com/matfabia/strongswan
strongswan 的配置文件如下所示
- ipsec.conf //配置ipsec隧道信息
- ipsec.secerts //psk密钥 配置设备私钥证书 配置eap用户名和密码
- strongswan.conf //为strongswan提供所有组件配置
ipsec.conf官网配置示例
官网https://wiki.strongswan.org/projects/strongswan/wiki/ConnSection
# ipsec.conf - strongSwan IPsec configuration file# basic configurationconfig setup# strictcrlpolicy=yes# uniqueids = no# Add connections here.# Sample VPN connections#conn sample-self-signed //ipsec隧道名 一条ipsec配置的起始处
# leftsubnet=10.1.0.0/16
# leftcert=selfCert.der
# leftsendcert=never
# right=192.168.0.2
# rightsubnet=10.2.0.0/16
# rightcert=peerCert.der
# auto=start
#conn sample-with-ca-cert
# leftsubnet=10.1.0.0/16
# leftcert=myCert.pem
# right=192.168.0.2
# rightsubnet=10.2.0.0/16
# rightid="C=CH, O=Linux strongSwan CN=peer name"
# auto=start
服务端-实例配置
只配置了必要的参数
config setupcharondebug="cfg 4, dmn 4, ike 4, net 4, knl 4"uniqueids=yesstrictcrlpolicy=noconn %defaultikelifetime=24h //在重新协商之前应该持续多长时间keylife=8h //从成功协商到期应该持续多长时间rekeymargin=30m keyingtries=3 keyexchange=ikev2 authby=psk dpddelay=180s ike=aes256-sha1-modp2048! esp=aes192-sha1-esn! //用于连接ESP加密认证算法mobike=noconn test //隧道名称,一条ipsec的起始处left=%any //ipsec协商公网IP 填写IP或者%defaultrouteleftcert=vrf_0.pem //公钥证书leftsubnet=192.168.0.1/32 //本段保护子网leftid=198.18.0.1 //本端idleftfirewall=yes //关闭防火right=%any //ipsec对端IP %any表示任意,服务端配置为%anyrightid=198.18.0.2 //对端idrightsubnet=0.0.0.0/0 //对端保护子网rightdns=114.114.114.114 auto=add //不发起ipsec连接
客户端-实例配置
conn %default
...
type=tunnel
dpddelay=180s
apdaction=restart //dpd检测失败后重新连接conn test-clileft=192.168.100.180auto=start //主动发起连接keyingtries=%forever //直到协商成功letfsubnet=192.18.0.2 //保护子网right=192.168.100.161 //服务端IPleftid=198.18.0.2 //移动端ios作为标识要用reghtid=198.18.0.1 //对端
ipsec.secrets配置
配置psk密钥
:PSK “vpp123” //默认pskrightid :PSK “123456” //psk绑定隧道
配置私钥证书
:RSA 1-key.pem //存放于 /usr/local/etc/ipsec.d/peivate/ 目录下
配置EAP用户名和密码
:test :EAP "123456" //用户名test 密码123456:EAP “vpp123” //用户名任意,密码vpp123
ipsec.secrets配置文件
strongswan.conf配置文件
ron {load_modular = yes plugins {include strongswan.d/charon/*.conf //加载插件}filelog {/var/log/strongswan-log {time_format-log = %b %e %Tdefault = 1 //日志调试级别append = noflush_line = yes}}
}
include strongswan.d/*.conf //加载其下的所有.conf文件
所有.conf文件
所有插件
strongswan配置使用(一)相关推荐
- 基于strongSwan配置预共享密钥的IPsec实验
实验环境 VMware Workstation 10.0.0 + ubuntu-18.04/16.04 + strongSwan 实验方案 1. 使用VMware创建2台虚拟机. 2. 每台虚拟机下 ...
- 使用StrongSwan配置IPSec
使用StrongSwan对IPSec进行研究,是一种很好的理解IPSec的实践.然而StrongSwan在使用的过程中实在是有太多的坑,网上的教程也多有不完整的地方,几乎没有能彻彻底底说明白每一步的, ...
- strongswan 配置ikev2 for iOS and Android
strongswan 高版本已支持ikev2,ios9.0以上版本的支持ikev2,Android也是高版本的部分机型支持ikev2,本人搭建的基于ikev2交换协议的strongswan VPN服务 ...
- strongSwan配置
测试环境使用两台VMware Fusion虚拟机,网络模式为NAT模式,虚拟机主要配置:一个单核CPU.一块网卡.操作系统为CentOS 7 执行dhclient ens33 &后,vm1的i ...
- StrongSwan安装部署、配置使用方法总结
StrongSwan官网:https://www.strongswan.org/ 下载地址:https://www.strongswan.org/download.html 一.StrongSwan安 ...
- strongswan编译、配置
strongswan编译 下载strongswan源码后,在命令行执行 ./configure -h 会打印出来编译时的配置选项,比较重要有: --prefix=PREFIX,PREFIX为编译完成后 ...
- 有关 strongSwan 的英文文档
strongSwan 代码内的说明文档 https://github.com/strongswan/strongswan/blob/master/README_LEGACY.md OpenSuSE 中 ...
- 4. 详解 IPSec 配置参数意义
转者注: 此篇转载博文:strongswan配置使用(一):转载者仅限于调整条码编号,和个人理解补充描述:如有不妥之处.请读者阅读原文. (1) IPSec 配置文件结构说明 ipsec.conf / ...
- strongSwan报文交互过程
通过上篇案例,我们已经初步掌握了如何通过strongSwan配置两台Linux主机之间的IPsec隧道.今天我们再来看一下strongSwan配置IPsec的报文交互过程和转发性能. 组网图还是上次的 ...
最新文章
- 从Android访问PC端的port (reverse port forwarding)
- struts 文件下载
- 今天的凉爽的学习环境 录音软件
- 离职证明(解除劳动合同书)是否会毁你一生?
- Nginx默认虚拟主机、 Nginx用户认证、Nginx域名重定向、访问日志·····
- 实习踩坑之路:一个诡异的SQL?PageHelper莫名多了一个Limit子句,导致SQL执行错误?
- 续招商、保利后,纬衡科技又签地产大鳄碧桂园
- Eclipse+CDT+GDB调试android NDK程序(转)
- 网站php镜像小偷,网站被镜像了怎么办?
- mysql中求闰年的函数_SQL 判断闰年
- Could not start Tomcat
- JSP页面只显示源代码不显示网页内容
- 算法学习系列(贪心算法)—多处最优服务次序问题
- “跨次元”目标检测模型hold住各种画风,真人赛博恐龙梵高画作都能识别,复旦校友一作,在线Demo可玩...
- 2021年美国联邦法定假日表
- 欲取代Android的Firefox OS 的意外复兴
- Linux三剑客 grep sed awk 详细使用方法
- simpledateformat怎么改变格式 SimpleDateFormat 的使用及其 注意事项
- 如何实现rsync远程同步和inotify实时同步
- 【Matlab】Matlab基础入门