来源:https://blog.csdn.net/zt698/article/details/4811604

1       介绍
从Linux 2.6内核开始,内核就自身带有IPSec模块,配合IPSec-Tools,能很好的实现Linux的IPSec功能。

IPSec-Tools主要包含libipsec、setkey、racoon和racoonctl这4个模块,setkey主要用于配置SAD(安全关联数据库)和SPD(安全策略数据库),racoon用于IKE协商。

本文采用最简单的网络配置(2台PC互联,操作系统均为:Linux 2.6.27)介绍IPSec-Tools的IKE配置和手工配置实现传输模式的IPSec。

默认情况下,IPSec-Tools的配置文件均放在/etc/racoon目录下,setkey.conf文件保存着sad和spd的配置信息,racoon.conf文件保存着IKE各个协商阶段各采用什么方式进行协商。

2       拓扑图

3       IKE配置
1)        采用预共享密钥的方式,在/etc/racoon目录下产生psk.txt的文件;

在A机的psk.txt里填入:192.168.59.133  mekmitasdigoat。

在B机的psk.txt里填入:192.168.59.132  mekmitasdigoat。

产生psk.txt文件后,执行:chmod 600 psk.txt.

2)        打开setkey.conf文件:

A机填入:

flush;

spdflush;

spdadd 192.168.59.132 192.168.59.133 any -P out ipsec esp/transport//require;

spdadd 192.168.59.133 192.168.59.132 any -P in ipsec esp/transport//require;

B机填入:

flush;

spdflush;

spdadd 192.168.59.132 192.168.59.133 any -P in ipsec esp/transport//require;

spdadd 192.168.59.133 192.168.59.132 any -P out ipsec esp/transport//require;

3)        打开A、B两机的racoon.conf文件,均填写以下内容:

path include "/etc/racoon";                                     #配置文件位置

path pre_shared_key "/etc/racoon/psk.txt";                  #共享密钥文件

path certificate "/etc/racoon/cert";                                 #证书文件目录

log notify;

# "padding" defines some parameter of padding.  You should not touch these.

padding

{

maximum_length 20;    # maximum padding length.

randomize off;              # enable randomize length.

strict_check off;    # enable strict check.

exclusive_tail off;  # extract last one octet.

}

# if no listen directive is specified, racoon will listen to all

# available interface addresses.

listen

{

#isakmp ::1 [7000];

#isakmp 202.249.11.124 [500];

#admin [7002];            # administrative's port by kmpstat.

#strict_address;   # required all addresses must be bound.

adminsock "/var/run/racoon/racoon.sock" "root" "users" 660;

}

# Specification of default various timer.

timer

{

# These value can be changed per remote node.

counter 5;             # maximum trying count to send.

interval 20 sec;     # maximum interval to resend.

persend 1;            # the number of packets per a send.

# timer for waiting to complete each phase.

phase1 30 sec;

phase2 15 sec;

}

remote anonymous                   #阶段一协商

{

exchange_mode main;    #main:主模式,aggressive:野蛮模式

lifetime time 24 hour;

proposal {

encryption_algorithm 3des;

hash_algorithm sha1;

authentication_method pre_shared_key;

dh_group 1;

}

proposal {

encryption_algorithm 3des;

hash_algorithm md5;

authentication_method pre_shared_key;

dh_group 1;

}

proposal {

encryption_algorithm 3des;

hash_algorithm sha1;

authentication_method pre_shared_key;

dh_group 1;

}

proposal {

encryption_algorithm 3des;

hash_algorithm md5;

authentication_method pre_shared_key;

dh_group 1;

}

proposal {

encryption_algorithm 3des;

hash_algorithm sha1;

authentication_method pre_shared_key;

dh_group 1;

}

}

sainfo anonymous                                                 #阶段二协商

{

pfs_group 2;

lifetime time 12 hour ;

encryption_algorithm 3des;

authentication_algorithm hmac_sha1;

compression_algorithm deflate ;

}

4)        执行/usr/sbin/racoon -f /etc/racoon/racoon.conf,运行IKE协商程序;

5)        A机执行ping B机,在中间转包可以看到IKE协商包,协商完成以后会出现ESP包,并且能够ping通。

4 手工配置
1)        Setkey.conf设置:

在A机的setkey.conf中填入:

flush;

spdflush;

add 192.168.59.132 192.168.59.133 esp 24501 -E 3des-cbc "123456789012123456789012";

add 192.168.59.133 192.168.59.132 esp 24502 -E 3des-cbc "123456789012123456789012";

spdadd 192.168.59.132 192.168.59.133 any -P out ipsec esp/transport//require;

spdadd 192.168.59.133 192.168.59.132 any -P in ipsec esp/transport//require;

在B机的setkey.conf中填入:

flush;

spdflush;

add 192.168.59.132 192.168.59.133 esp 24501 -E 3des-cbc "123456789012123456789012";

add 192.168.59.133 192.168.59.132 esp 24502 -E 3des-cbc "123456789012123456789012";

spdadd 192.168.59.132 192.168.59.133 any -P in ipsec esp/transport//require;

spdadd 192.168.59.133 192.168.59.132 any -P out ipsec esp/transport//require;

2)        执行setkey –f /etc/raccoon/setkey.conf;

3)        A机执行ping B机,在中间转包可以看到ESP包,并且能够ping通。

5 其它
Setkey –D:查看SAD信息;

Setkey –DP:查看SPD信息。
---------------------
作者:zt698
来源:CSDN
原文:https://blog.csdn.net/zt698/article/details/4811604
版权声明:本文为博主原创文章,转载请附上博文链接!

【转载】IPSec-Tools配置的更多相关文章

  1. IPSEC VPN配置实例

    TL-R400VPN应用——IPSEC VPN配置实例 TL-ER6120是TP-LINK专为企业应用而开发的VPN路由器,具备强大的数据处理能力,并且支持丰富的软件功能,包括VPN.IP/MAC 地 ...

  2. Siebel Tools配置

    默认安装的Siebel+Tools,Tools登陆时有3个选项:Local.Sample.Server,具体涵义如下: Local:指本地数据库.按照Siebel开发建议,开发人员需要从Siebel ...

  3. 转载:Vim 配置入门

    转载:Vim 配置入门 原文地址:http://www.ruanyifeng.com/blog/2018/09/vimrc.html 作者: 阮一峰 Vim 是最重要的编辑器之一,主要有下面几个优点. ...

  4. 转载-centos网络配置(手动设置,自动获取)的2种方法

    转载地址:http://blog.51yip.com/linux/1120.html 重新启动网络配置 # service network restart 或 # /etc/init.d/networ ...

  5. [转载]TFS安装配置教程

    最近公司新开发一个项目要用微软的TFS2013进行项目的源代码管理,以前只是用过SVN,从来没有用过TFS,所以在网上百度.谷歌了好一阵子来查看怎么安装和配置,还好花了一天时间总算是初步的搞定了,下面 ...

  6. ASA IPSEC VPN配置

    ASA-1配置 : Saved:ASA Version 8.0(2) !hostname ASA-1enable password 8Ry2YjIyt7RRXU24 encryptednames!in ...

  7. cisco路由器IPSEC VPN配置(隧道模式)

    拓扑如下: R1配置hostname R1enable password cisco  crypto isakmp policy 1        #创建IKE协商策略,编号为1 encr 3des  ...

  8. [dev][ipsec][dpdk] strongswan/dpdk源码分析之ipsec算法配置过程

    1 简述 storngswan的配置里用一种固定格式的字符串设置了用于协商的预定义算法.在包协商过程中strongswan将字符串转换为固定的枚举值封在数据包里用于传输. 协商成功之后,这组被协商选中 ...

  9. 【转载】uWSGI配置翻译

    英文原版: http://uwsgi-docs.readthedocs.io/en/latest/Options.html 转载地址: http://www.cnblogs.com/zhouej/ar ...

随机推荐

  1. MySQL 排名、分组后组内排名、取各组的前几名

    一.排名 /*普通排名:从1开始,顺序往下排*/ AS rank ) r ORDER BY score; /*并列排名:相同的值是相同的排名*/ SELECT cs.* , CASE WHEN @p= ...

  2. manually Invoking Model Binding / Model Binding /Pro asp.net mvc 5

    限制绑定器 数据源

  3. Windows7只能设置纯色背景解决方法

    解决设置设置纯色图片,不能设置其他背景图片的方法. 比如这样的. 首先找到这个目录 C:\Users\(这个位置填写你的电脑用户名)\AppData\Roaming\Microsoft\Windows ...

  4. selenium,测试套件的使用

    学习 selenium-webdriver 已经一段时间了,最近学习到,测试用例的批量执行,和测试套件的使用,有点自己的理解,不晓得对不对,希望大家指正!   写一个测试用例 baidu.py   c ...

  5. Object-c的字符串处理常用方法

    Object-c的字符串处理常用方法 #import <Foundation/Foundation.h> int main(int argc, const char * argv[]) { ...

  6. 从桌面到Web - 领域模型的创建

    天佑武汉,天佑中国.这次为全国人民作出巨大牺牲的武汉人是坚强和担当的. 这次疫情期间的自我隔离的一个副作用是第一次享受这个超长假期,本来想好好学习一下Web技术的,但家里的唯一一台计算机被占用,不得已 ...

  7. Hello,world!一切的开始

    普及知识 当我们准备开发Java程序时,我们需要两样基础的工具--JDK与IDE.在这里需要解释一下什么是JDK还有IDE.JDK的全称是Java Development kit,即Java开发工具集 ...

  8. 17、Wireless

    1. WLAN在物理层采用的是无线电 i.    wlan采用csma/ca代替lan的csma/cd ii.    工作在半双工模式,共享带宽(无法在发送的同时接收信号) 2. WLAN会遇到的问题 ...

  9. springboot使用servlet

    基于注解方式: 基于配置类:

  10. html作业记录

    <html> <head> <title>Hello World</title> </head> <body> <!-- ...