来源:https://blog.csdn.net/zt698/article/details/4811604

1       介绍
从Linux 2.6内核开始,内核就自身带有IPSec模块,配合IPSec-Tools,能很好的实现Linux的IPSec功能。

IPSec-Tools主要包含libipsec、setkey、racoon和racoonctl这4个模块,setkey主要用于配置SAD(安全关联数据库)和SPD(安全策略数据库),racoon用于IKE协商。

本文采用最简单的网络配置(2台PC互联,操作系统均为:Linux 2.6.27)介绍IPSec-Tools的IKE配置和手工配置实现传输模式的IPSec。

默认情况下,IPSec-Tools的配置文件均放在/etc/racoon目录下,setkey.conf文件保存着sad和spd的配置信息,racoon.conf文件保存着IKE各个协商阶段各采用什么方式进行协商。

2       拓扑图

3       IKE配置
1)        采用预共享密钥的方式,在/etc/racoon目录下产生psk.txt的文件;

在A机的psk.txt里填入:192.168.59.133  mekmitasdigoat。

在B机的psk.txt里填入:192.168.59.132  mekmitasdigoat。

产生psk.txt文件后,执行:chmod 600 psk.txt.

2)        打开setkey.conf文件:

A机填入:

flush;

spdflush;

spdadd 192.168.59.132 192.168.59.133 any -P out ipsec esp/transport//require;

spdadd 192.168.59.133 192.168.59.132 any -P in ipsec esp/transport//require;

B机填入:

flush;

spdflush;

spdadd 192.168.59.132 192.168.59.133 any -P in ipsec esp/transport//require;

spdadd 192.168.59.133 192.168.59.132 any -P out ipsec esp/transport//require;

3)        打开A、B两机的racoon.conf文件,均填写以下内容:

path include "/etc/racoon";                                     #配置文件位置

path pre_shared_key "/etc/racoon/psk.txt";                  #共享密钥文件

path certificate "/etc/racoon/cert";                                 #证书文件目录

log notify;

# "padding" defines some parameter of padding.  You should not touch these.

padding

{

maximum_length 20;    # maximum padding length.

randomize off;              # enable randomize length.

strict_check off;    # enable strict check.

exclusive_tail off;  # extract last one octet.

}

# if no listen directive is specified, racoon will listen to all

# available interface addresses.

listen

{

#isakmp ::1 [7000];

#isakmp 202.249.11.124 [500];

#admin [7002];            # administrative's port by kmpstat.

#strict_address;   # required all addresses must be bound.

adminsock "/var/run/racoon/racoon.sock" "root" "users" 660;

}

# Specification of default various timer.

timer

{

# These value can be changed per remote node.

counter 5;             # maximum trying count to send.

interval 20 sec;     # maximum interval to resend.

persend 1;            # the number of packets per a send.

# timer for waiting to complete each phase.

phase1 30 sec;

phase2 15 sec;

}

remote anonymous                   #阶段一协商

{

exchange_mode main;    #main:主模式,aggressive:野蛮模式

lifetime time 24 hour;

proposal {

encryption_algorithm 3des;

hash_algorithm sha1;

authentication_method pre_shared_key;

dh_group 1;

}

proposal {

encryption_algorithm 3des;

hash_algorithm md5;

authentication_method pre_shared_key;

dh_group 1;

}

proposal {

encryption_algorithm 3des;

hash_algorithm sha1;

authentication_method pre_shared_key;

dh_group 1;

}

proposal {

encryption_algorithm 3des;

hash_algorithm md5;

authentication_method pre_shared_key;

dh_group 1;

}

proposal {

encryption_algorithm 3des;

hash_algorithm sha1;

authentication_method pre_shared_key;

dh_group 1;

}

}

sainfo anonymous                                                 #阶段二协商

{

pfs_group 2;

lifetime time 12 hour ;

encryption_algorithm 3des;

authentication_algorithm hmac_sha1;

compression_algorithm deflate ;

}

4)        执行/usr/sbin/racoon -f /etc/racoon/racoon.conf,运行IKE协商程序;

5)        A机执行ping B机,在中间转包可以看到IKE协商包,协商完成以后会出现ESP包,并且能够ping通。

4 手工配置
1)        Setkey.conf设置:

在A机的setkey.conf中填入:

flush;

spdflush;

add 192.168.59.132 192.168.59.133 esp 24501 -E 3des-cbc "123456789012123456789012";

add 192.168.59.133 192.168.59.132 esp 24502 -E 3des-cbc "123456789012123456789012";

spdadd 192.168.59.132 192.168.59.133 any -P out ipsec esp/transport//require;

spdadd 192.168.59.133 192.168.59.132 any -P in ipsec esp/transport//require;

在B机的setkey.conf中填入:

flush;

spdflush;

add 192.168.59.132 192.168.59.133 esp 24501 -E 3des-cbc "123456789012123456789012";

add 192.168.59.133 192.168.59.132 esp 24502 -E 3des-cbc "123456789012123456789012";

spdadd 192.168.59.132 192.168.59.133 any -P in ipsec esp/transport//require;

spdadd 192.168.59.133 192.168.59.132 any -P out ipsec esp/transport//require;

2)        执行setkey –f /etc/raccoon/setkey.conf;

3)        A机执行ping B机,在中间转包可以看到ESP包,并且能够ping通。

5 其它
Setkey –D:查看SAD信息;

Setkey –DP:查看SPD信息。
---------------------
作者:zt698
来源:CSDN
原文:https://blog.csdn.net/zt698/article/details/4811604
版权声明:本文为博主原创文章,转载请附上博文链接!

【转载】IPSec-Tools配置的更多相关文章

  1. IPSEC VPN配置实例

    TL-R400VPN应用——IPSEC VPN配置实例 TL-ER6120是TP-LINK专为企业应用而开发的VPN路由器,具备强大的数据处理能力,并且支持丰富的软件功能,包括VPN.IP/MAC 地 ...

  2. Siebel Tools配置

    默认安装的Siebel+Tools,Tools登陆时有3个选项:Local.Sample.Server,具体涵义如下: Local:指本地数据库.按照Siebel开发建议,开发人员需要从Siebel ...

  3. 转载:Vim 配置入门

    转载:Vim 配置入门 原文地址:http://www.ruanyifeng.com/blog/2018/09/vimrc.html 作者: 阮一峰 Vim 是最重要的编辑器之一,主要有下面几个优点. ...

  4. 转载-centos网络配置(手动设置,自动获取)的2种方法

    转载地址:http://blog.51yip.com/linux/1120.html 重新启动网络配置 # service network restart 或 # /etc/init.d/networ ...

  5. [转载]TFS安装配置教程

    最近公司新开发一个项目要用微软的TFS2013进行项目的源代码管理,以前只是用过SVN,从来没有用过TFS,所以在网上百度.谷歌了好一阵子来查看怎么安装和配置,还好花了一天时间总算是初步的搞定了,下面 ...

  6. ASA IPSEC VPN配置

    ASA-1配置 : Saved:ASA Version 8.0(2) !hostname ASA-1enable password 8Ry2YjIyt7RRXU24 encryptednames!in ...

  7. cisco路由器IPSEC VPN配置(隧道模式)

    拓扑如下: R1配置hostname R1enable password cisco  crypto isakmp policy 1        #创建IKE协商策略,编号为1 encr 3des  ...

  8. [dev][ipsec][dpdk] strongswan/dpdk源码分析之ipsec算法配置过程

    1 简述 storngswan的配置里用一种固定格式的字符串设置了用于协商的预定义算法.在包协商过程中strongswan将字符串转换为固定的枚举值封在数据包里用于传输. 协商成功之后,这组被协商选中 ...

  9. 【转载】uWSGI配置翻译

    英文原版: http://uwsgi-docs.readthedocs.io/en/latest/Options.html 转载地址: http://www.cnblogs.com/zhouej/ar ...

随机推荐

  1. java 方法定义 调用

    一.定义 格式: 修饰符 返回值类型 方法名(参数){ return } 相比之下python方法的定义简单多了 public static 是修饰符 二.调用 方法名(); 注意:要在main方法中 ...

  2. 搞定SpringBoot多数据源(3):参数化变更源

    目录 1. 引言 2. 参数化变更源说明 2.1 解决思路 2.2 流程说明 3. 实现参数化变更源 3.1 改造动态数据源 3.1.1 动态数据源添加功能 3.1.2 动态数据源配置 3.2 添加数 ...

  3. Python错误与异常

    1 异常和错误 1.1 错误和异常 从软件方面来说,错误是语法或者逻辑上的,语法错误指示软件的结构上有错误,导致不能被解释器解释.当程序的语法正确后,剩下的就是逻辑错误了,逻辑错误可能是由于不完整或者 ...

  4. 机器学习环境配置系列五之keras2

    keras一个大坑就是配置文件的问题,网上会给很多的误导,让我走了很多弯路. 1.安装keras2 conda install keras 2.环境配置 echo ‘{ "epsilon&q ...

  5. git recommend(alive)

    初始化并跟踪远程分支: echo "# test" >> README.mdgit initgit add README.mdgit commit -m "f ...

  6. SpringBoot学习(一):SpringBoot入门

    1.Spring Boot 简介 1) 简化Spring应用开发的一个框架: 2) 整个Spring技术栈的一个大整合: 3) J2EE开发的一站式解决方案: 2.微服务 2014,martin fo ...

  7. Java并发专栏

    1. Java并发 2. 守护线程与非守护线程 3. 为什么启动线程用start()而不用run()? 4. Java线程join方法总结 5. 生产者与消费者 6. wait.notify/noti ...

  8. springIOC源码接口分析(七):ApplicationEventPublisher

    一 定义方法 此接口主要是封装事件发布功能的接口,定义了两个方法: /** * 通知应用所有已注册且匹配的监听器此ApplicationEvent */ default void publishEve ...

  9. Jquery 替换全部字符

    item.replace('P','')   只会替换第一个'P'字符 item.replace(/P/gm,'') 替换全部'P'字符

  10. node + multer存储element-ui上传的图片

    说明 element-ui的Upload组件可以帮助我们上传我们的图片到我们的服务器,可以使用action参数上传图片,也可以使用http-request自定义上传方式.这里我们使用自定义的方式上传. ...