strongSwan配置运行及测试

Posted shaoyangz

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了strongSwan配置运行及测试相关的知识,希望对你有一定的参考价值。

 

版本信息:strongSwan v5.7.2


 

1.      编译

tar xvf strongswan-5.7.2.tar.gz
./configure --prefix=/usr/ --sysconfdir=/etc/           <还可以增加其他选项,使用help查看>
make
make install

2.      测试场景 

技术分享图片

说明:strongSwan官网上有个Test Scenarios链接,下面有非常多的测试场景和配置说明,可能有针对性地参考。为简单起见,本文仅描述最简单的对接场景。

3.      配置

技术分享图片

配置文件默认安装在/usr/local/etc目录,说明如下:

1、通用的配置文件为strongswan.conf,及strongswan.d目录下文件;

2、Used by swanctl and the preferred vici plugin:      //推荐使用

需要配置swanctl目录下的文件。主要是swanctl目录下的swanctl.conf文件,如果你保持安装状态的swanctl.conf文件,则需要在swanctl/conf.d目录下增加新的配置文件,默认的swanctl/swanctl.conf文件会包含你新增的配置文件。

3、Used by starter and the deprecated stroke plugin:   //过期,不推荐

1)配置ipsec.conf。

2)配置ipsec.secrets。

3)配置ipsec.d下的配置文件。

特别说明:当使用swanctl和starter工具时,需要的配置文件是完全不同的。1的配置是必须,而2和3的配置你可以选择其中之一。为什么要讲这一点,是因为你百度出来的东西很多都是基于各种各样的版本,这个概念没搞清,你的配置无论如何都不会生效。

本文后述的配置均基于swanctl工具。

 

3.1 PC2配置

1、Strongswan.conf保持默认

2、swanctl.conf配置

技术分享图片

说明:
1) 注意host-host这个名字,后续启动协商的时候需要指定这个名字。
2) auth设置为psk时,认证方式为预共享密钥,如果是证书方法,去官网上查吧。
3) 如果不配置local_ts和remote_ts字段,则对所有的ip报文加解密。如果指定上述字段,则是对指定的数据流进行加密。
4) Version字段指定ikev1还是ikev2。
5) Secrets下的secret字段指定密钥(本例中为simplepsk)。
6) 当指定ike的版本为v2时,流量选择器指定的端口即使为区间,也只有第一个端口生效(IKEV1的限制)。

 

3.2 PC1配置


1、Strongswan.conf保持默认

2、swanctl.conf配置如下

技术分享图片

4.      运行

 1、swanctl --load-all   

如果没有错误,会显示如下信息:

[email protected]:/usr/local/etc/swanctl# swanctl --load-all
loaded ike secret ‘ike-host-host‘
no authorities found, 0 unloaded
no pools found, 0 unloaded
loaded connection ‘host-host‘  //注:此处的host-host就是之前在swanctl.conf中定义的
successfully loaded 1 connections, 0 unloaded

说明:配置swanctl.conf一定要放置在swanctl/conf.d下或swanctl下,否则会报错

2、ipsec up host-host

技术分享图片

出现上述信息,说明ipsec建立成功。

3、查询ipsec状态

技术分享图片

4、ipsec down host-host,可以断链

5.      抓包

技术分享图片

 








以上是关于strongSwan配置运行及测试的主要内容,如果未能解决你的问题,请参考以下文章

strongswan中dh创建

strongswan--插件的加载

strongswan怎么配置传输模式

strongswan--配置Charon-systemd问题解决

[dev][ipsec] strongswan plugin的配置文件的添加方法与管理架构解析

strongswan 配置文件 /etc/ipsec.conf 速查手册1