IPsec-Tools配置之racoon
IPsec-Tools中的racoon工具实现了IKE的功能,既实现了双向认证,又能建立和维护IPsec SA。下面使用psk的认证方法配置racooon。
一、网络拓扑
二、配置网络
子网1: 192.168.1.0/24,网关GW1
子网2: 192.168.0.0/24,网关GW2
GW1和GW2已添加到子网2、1的路由。
A和B现在可正常ping 通
三、IPsec配置
1. 客户端A
(1) setkey.conf
[root@localhost ~]# cat /etc/setkey.conf
#flush SAD entries
flush;
#flush SPD entries
spdflush;
#add SA entries
#add SP entries
spdadd 192.168.0.0/24 192.168.1.0/24 any -P in ipsec esp/transport//require esp/transport//require;
spdadd 192.168.1.0/24 192.168.0.0/24 any -P out ipsec esp/transport//require esp/transport//require;
(2) psk.txt
[root@localhost ~]# cat /etc/racoon/psk.txt
192.168.0.2 0x123456
(3)racoon.conf
[root@localhost ~]# cat /etc/racoon/racoon.conf
# Racoon IKE daemon configuration file.
# See 'man racoon.conf' for a description of the format and entries.
path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";
remote anonymous
{
exchange_mode main;
lifetime time 2 hour;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
proposal {
encryption_algorithm aes;
hash_algorithm sha512;
authentication_method pre_shared_key;
dh_group modp2048;
}
}
sainfo anonymous
{
pfs_group 2;
lifetime time 1 hour ;
encryption_algorithm 3des, blowfish 448, rijndael ;
authentication_algorithm hmac_sha1, hmac_md5 ;
compression_algorithm deflate ;
}
2. 客户端B
(1)setkey.conf
[root@localhost ~]# cat /etc/setkey.conf
#flush SAD entries
flush;
#flush SPD entries
spdflush;
#add SA entries
#add SP entries
spdadd 192.168.1.0/24 192.168.0.0/24 any -P in ipsec esp/transport//require esp/transport//require;
spdadd 192.168.0.0/24 192.168.1.0/24 any -P out ipsec esp/transport//require esp/transport//require;
(2) psk.txt
[root@localhost ~]# cat /etc/racoon/psk.txt
192.168.1.2 0x123456
(3) racoon.conf
[root@localhost ~]# cat /etc/racoon/racoon.conf
# Racoon IKE daemon configuration file.
# See 'man racoon.conf' for a description of the format and entries.
path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";
remote anonymous
{
exchange_mode main;
lifetime time 2 hour;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
proposal {
encryption_algorithm aes;
hash_algorithm sha512;
authentication_method pre_shared_key;
dh_group modp2048;
}
}
sainfo anonymous
{
pfs_group 2;
lifetime time 1 hour ;
encryption_algorithm 3des, blowfish 448, rijndael ;
authentication_algorithm hmac_sha1, hmac_md5 ;
compression_algorithm deflate ;
}
四、测试
1.在客户A和B上分别激活setkey.conf和racoon.conf
#setkey –f /etc/setkey.conf
#setkey –f /etc/raccoon/racoon.conf
2. iptables设置
由于iptables会丢弃ESP数据包,ESP在经过GW1和GW2路由时会被丢弃,所以应配置iptables允许ESP数据包通过或简单disable掉iptables.
#service iptables stop
3.在B上ping A,抓包如下:
racoon使用psk认证方法配置成功!
IPsec-Tools配置之racoon相关推荐
- IPSec隧道配置案例(手动模式)
IPSec有点难需要掌握他的逻辑及框架然后就简单了 网络攻城狮眼里的烟花! IPSec VPN 配置案例 要求 拓扑 配置 基础配置 IPSec VPN配置 分析原因 解决方法 IPSec VPN I ...
- GRE over IPSec 隧道配置案例
我也想要一个美女老师教我学习网络. GRE over IPSec 配置案例 要求 拓扑 配置 基础配置 GRE VPN配置 配置路由 IPSec配置 GRE over IPSec 技术背景 工作流程 ...
- 应用场景之Dynamic End Point(DEP)IPSec的配置
DEP是什么 DEP是很多使用WAN链接各个分分支机构不可避免要考虑的方案. DEP指的是IPSec双方不再使用IP地址进行相互验证,而是使用主机名负载进行验证的一种方式.在这种方式中,Initiat ...
- 华为设备IPsec简单配置
IPsec VPN 一.IPsec是什么? 1.1 定义 1.2 封装模式(传输模式.隧道模式) 1.3 安全协议(AH.ESP) 1.4 秘钥交换协议(IKE) 二.IPsec有什么用? 2.1 通 ...
- 华为路由器 IPSec VPN 配置
需求: 通过 IPSecVPN 实现上海与成都内网互通 拓扑图如下: 一.首先完成网络配置 1.R1 路由器设置 <Huawei>sys [Huawei]sys R1 [R1]un in ...
- eNSP之IPsec 虚拟专用网配置
eNSP之IPsec 虚拟专用网配置 VPN的定义 1.互联网存在各种安全隐患 - 网上传输的数据有被窃听的风险- 网上传输的数据有被篡改的危险- 通信双方有被冒充的风险 2.VPN (Virtual ...
- IPSEC VXN配置实例
今天给大家介绍一下IPSEC VXN的配置实例,适合对IPSEC理论有一定了解,但是对IPSEC配置还不清楚的同学,本文介绍的是最简单的IPSEC配置实例.如果想要了解IPSEC基础知识或者想要了解I ...
- GRE over IPsec VPN配置
GRE over IPsec VPN配置 [实验目的] 理解GRE Tunnel的概念. 理解GRE over IPsec VPN的概念. 掌握GRE Tunnel的配置. 掌握GRE over IP ...
- IPsec ×××路由器配置:ISAKMP策略
部署一个使用IPsec的IOS路由器要从配置ISAKMP策略和路由器的ISAKMP认证密钥数据开始.如果路由器仅仅与Site-to-Site拓扑中的另外一个路由器相连,那么ISAKMP配置就完成了.然 ...
- centos ipsec tunnel 配置
配置 环境: 10.10.10.1--172.16.1.71-------172.16.1.72----10.20.20.1 172.16.1.71上的配置 [root@***-test01 ~]# ...
最新文章
- 贪心 ---- 贪心 + STL维护 + 划分集合 L. Neo-Robin Hood(好题)
- 图形显卡_显卡缺货?专业图形卡主机方案演示,Quadro P2200
- ocp 043 第十三章:管理资源
- python判断字符串回文_python实现--判断回文字符串、回文链表、回文数
- 吴恩达神经网络和深度学习-学习笔记-36-网络中的网络以及1×1卷积
- Hello~CSND
- 《穷查理宝典》读书笔记
- 图像风格迁移Android,图像风格迁移(Pytorch)
- 20个值得一看的 JS 代码简写片段
- 数据分析的意义与必备技能
- ebtables日志nflog
- 奥古斯丁:我是一去不回的风
- HTML页面转PDF导出加水印并解决字被截断的问题
- Ubuntu的root
- 原win7系统迁移到SSD固态硬盘
- 【运维开发】Mac OS(10.13.6)使用 vagrant+VirtualBox +centos7搭建k8s集群
- Javascript技巧大集合(转自http://www.mscto.com/JavaScript/041043806.html)
- java spring boot 微信公众号 分享功能
- 计算机毕业设计(附源码)python校园疫情防控管理软件
- 【转】-ECshop数据库表结构