最新文章:

首页 运维技术

linux下使用Strongswan搭建IPSec隧道

发布时间:2017年10月27日 评论数:抢沙发 阅读数:343

    一、方案背景及需求分析

            为保证各分支节点到中心节点的数据安全,需要在分支节点与中心节点之间连接IPSec隧道,实现Site-To-Site之间数据的完整性、私密性、不可否认性。客户当前环境有一台H3C F1080防火墙作为中心节点,分支节点均无网络设备,通过Linux操作系统实现,并与中心节点防火墙建立隧道。

    二、解决方案

    在分支站点出口部署一台Linux服务器,安装开源软件Strongswan,配置Site-To-Site IPSec隧道功能.

    三、拓扑结构

    Linux下使用Strongswan搭建IPSec VPN 环境部署 第1张.

    四、测试组件

              硬件防火墙:H3C FW1080 OS 7.1

              Liunx 操作系统:CentOS 7.0

              开源软件:StrongSwan 5.4.0

    五、安装配置

    5.1 更新yum 安装源


    yum install epel-release -y

    5.2 yum 安装 strongswan


    yum  install strongswan -y

    5.3 配置strongswan

    5.3.1 SA参数修改

    vi /etc/strongswan/ipsec.conf
    conn h3c
           keyexchange=ikev1             #使用Isakmp ikev1
           auto=start                    #自动启动该连接
           aggressive=yes                #IPSEC 主动模式
           #本端信息
           left=111.205.x.x           #Linux系统公网接口IP
           leftid=111.205.x.x        #使用IP地址作为IPSEC设备ID
           leftsubnet=*.*.*.0/24         #Linux站点侧要保护的子网,可以是该系统的接口IP
           #对端信息
           right=124.205.x.x          #防火墙公网接口IP
           rightid=124.205.x.x       #使用IP地址作为IPSEC设备ID
           rightsubnet=192.168.10.0/24   #防火墙侧要保护的子网
           leftauth=psk                  #认证方式为预共享密钥
           rightauth=psk                 #认证方式为预共享密钥
           type=tunnel                   #IPSEC模式为隧道模式
           ike=aes128-md5-modp1024       #IPSEC 第一阶段密钥参数
           esp=aes128-sha1               #IPSEC 第二阶段加密参数

    5.3.2 密钥PSK配置

    111.205.x.x 124.205.x.x : PSK 99bc773ea2791568690xxxxxxxx
    ##本端IP    对端IP :      PSK 预共享密钥

    5.3.3 配置linux IPv4转发

    编辑/etc/sysctl.conf

    将net.ipv4.ip_forward 的值修改为1。

    执行sysctl -p(将有错误的部分在/etc/sysctl.conf中使用#注释掉,再次执行sysctl-p)。

    5.3.4 启动strongswan


    strongswan restart

    查看链路建立状态strongswan statusall,例:

    Linux下使用Strongswan搭建IPSec VPN 环境部署 第2张

    Security Associations (1 up, 0 connecting)即为链路已通

    5.3.5 strongswan相关命令

    Strongswan start                               启动strongswan

    Strongswan restart                            重新启动strongswan

    Strongswan stop                               停止strongswan

    Strongswan status                            查看连接状态

    Strongswan statusall                         查看明细状态

二维码加载中...
本文作者:Mr.linus      文章标题: linux下使用Strongswan搭建IPSec隧道
本文地址:https://www.itsec.vip/444  百度暂未收录本文
版权声明:若无注明,本文皆为“挨踢 Blog”原创,转载请保留文章出处。
挤眼 亲亲 咆哮 开心 想想 可怜 糗大了 委屈 哈哈 小声点 右哼哼 左哼哼 疑问 坏笑 赚钱啦 悲伤 耍酷 勾引 厉害 握手 耶 嘻嘻 害羞 鼓掌 馋嘴 抓狂 抱抱 围观 威武 给力
提交评论

清空信息
关闭评论