Articles of strongswan

与strongswan的公钥authentication

我有两个系统r1和r2,我想使用公钥authentication在Strongswan之间build立一个ESP隧道。 我已经生成了公钥,分别存储在r1-pub.pem和r2-pub.pem中,两个系统都使用openssl。 现在我的ipsec.conf文件在系统r1中看起来像这样 conn host-host-rsa left=1.1.1.1 leftsubnet=192.168.10.0/24 [email protected] leftauth=pubkey leftrsasigkey=/root/r1-pub.pem right=2.2.2.2 rightsubnet=192.168.20.0/24 [email protected] rightauth=pubkey rightrsasigkey=/root/r2-pub.pem type=tunnel auto=add 而在系统r2中,configuration是 conn host-host-rsa left=2.2.2.2 leftsubnet=192.168.20.0/24 [email protected] leftauth=pubkey leftrsasigkey=/root/r2-pub.pem right=1.1.1.1 rightsubnet=192.168.10.0/24 [email protected] rightauth=pubkey rightrsasigkey=/root/r1-pub.pem type=tunnel auto=add 现在当在r1上启动ipsec时,我得到这个错误 Starting strongSwan 5.1.2 IPsec [starter]… 00[DMN] Starting IKE charon daemon (strongSwan 5.1.2, Linux 3.13.0-32-generic, x86_64) 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts' 00[CFG] […]

strongSwan ipsec设置,几个问题

我正在尝试在我的家庭networking和我的办公networking之间build立一个IPsec网桥。 我想用StrongSwan来encryptionIPsec的stream量 我正在尝试遵循本指南 networking简介: 办公室networking有3台机器连接到一个便宜的D-link路由器,其中2个是Linux机箱,应该可以从IPsecnetworking访问。 另一台机器是Windows,不应该看到任何IPsecstream量 家庭networking有两台机器,一台是linux,它应该可以访问和从IPsecnetworking访问。 另一台机器是windows,不应该看到任何IPsecstream量 我不知道该怎么做,但是我现在有三个高度关注的问题: 1)首先是一个普遍的问题; 假设它可能和实际的安排在互联网之外的秘密预先分享(在这种情况下)是手动设置密钥一般比设置IKE或IKEv2更安全? 2)我已经读了一些关于子网划分的内容,根据我对strongswan文档的解释,我应该设置一个站点到站点的networking,但是我不确定我应该在哪里寻找右/左/ rightsubnet / leftsubnet ip和掩码来configurationipsec。 编辑为了更确切地说,我看着ifconfig输出,并试图决定如何翻译这个configurationrightsubnet / leftsubnet。 什么机器构成网关? 有任何想法吗? 对不起,如果这个问题是非常微不足道的 3)在真实networking中部署任何设置之前,我想使用virtualbox机器在家中testingIPsecnetworking。 这会工作吗? 我需要多less虚拟机来制作一个真实的场景? 谢谢你的耐心 (顺便说一下,我还没有足够的声望来创build“strongswan”标签,如果有人创build了它,我很乐意用它来更新这个post)

在iOS上没有密码的strongSwan

我有以下问题:我需要在没有密码的情况下使用iOS进行VPN身份validation,但仅使用证书。 原因是我需要“VPN on demand”,它只在证书authentication上有效。 我发现这个教程 ,但它使用证书+密码authentication。 但我只需要证书。 我一直在尝试从configuration中删除xauth身份validation,但我失败了。

strongswan:完全虚拟子网

我最近build立了一个strongswan IPSec VPN来从我的android智能手机访问我的家庭服务器的一些非公共服务。 我在一些其他设备上使用OpenVPN来完成同样的任务,但是select了strongswan作为手机,因为我认为IKEv2(如果我错了,请纠正我)在移动设备上非常友好。 当前(openvpn)设置由一个服务器(虚拟IP:10.0.0.2)和多个客户端(全部在10.0.0.0/24子网中)组成。 各方的路由都设置为仅路由通过专用于该子网的vpn的数据包。 (我不想从客户端访问我的服务器的本地子网,我也不想通过服务器路由客户端的所有stream量) 现在我设法使用strongswan(服务器:5.0.4,客户端:官方strongswan android应用程序1.3.0),但我还没有完全。 首先,服务器configuration: config setup conn %default keyexchange=ikev2 conn android left=%any leftauth=pubkey leftcert=serverCert.pem leftid=vpn.mydomain.com leftsourceip=10.10.10.128 leftfirewall=yes right=%any rightsourceip=10.10.10.0/24 rightauth=pubkey rightcert=clientCert_mymobilephone.pem rightauth2=eap-mschapv2 auto=start 这将IP 10.10.10.1分配给我的电话,但没有IP到服务器的任何接口,这将是我想要的。 我仍然可以通过使用其本地IP(192.168.1.2),通过VPN访问我的服务器,这不是我真正想要的;) 我想将所有的客户端(主要是笔记本)从OpenVPN迁移到strongswan,但是上面的问题阻止了我进行切换。 我尝试了许多不同的strongswanconfiguration,但没有一个能匹配我的OpenVPNconfiguration。 那甚至有可能,如果是这样的话?

带有Windows 7客户端的strongSwan服务器不会路由stream量

我有一台服务器在我想连接到Windows 7的Amazon EC2实例上运行strongSwan。strongSwan服务器位于专用networking上(networking172.16.0.0/17上的IP地址为172.16.1.15),并将stream量转发给其从公共IP地址的私人地址 – 这是亚马逊称之为“弹性IP”。 我想从另一个私有子网(10.127.0.0/22)分配客户端地址,并在两个私有子网之间路由通信。 请注意,172.16.0.0/17子网由Amazonpipe理,但10.127.0.0/22子网现在不受任何pipe理(除了我的ipsec.conf)。 我的Windows客户端连接到VPN,但无法连接到专用networking上的任何主机。 我的理论是,这与客户端路由或服务器上缺less一些iptables调用的问题有关,但是我对这两个域都不是非常了解,而且我陷入了困境。 我在服务器上安装了Ubuntu 12.04和strongswan-ikev2。 ipsec version报告Linux strongSwan U4.5.2/K3.2.0-52-virtual 请注意,客户端和服务器都在NAT之后(客户端,因为它在本地办公networking,服务器,因为它在亚马逊的云)。 我在Amazon仪表板和客户端的防火墙上解除了UDP端口500和4500的封锁。 我在服务器上启用了IPv4转发: echo 1 > /proc/sys/net/ipv4/ip_forward 我已经进入亚马逊的172.16.0.0/17子网的VPCpipe理用户界面,并允许所有来往10.127.0.0/23子网的stream量。 这是/etc/ipsec.conf: config setup plutostart=no conn %default keyexchange=ikev2 dpdaction=clear dpddelay=300s rekey=no conn dlpvpn left=172.16.1.15 leftauth=pubkey leftcert=openssl-cert.pem leftid=vpn.example.com leftsubnet=172.16.0.0/17 right=%any rightsourceip=10.127.0.0/22 rightauth=eap-mschapv2 rightsendcert=never eap_identity=%any auto=add 这是/etc/ipsec.secrets: : RSA openssl-key.rsa TESTDOMAIN\testuser : EAP "testpassword" 这是/etc/strongswan.conf: […]

两个与StrongSWAN / OpenSWAN具有相同的权限的隧道

我正在尝试为Google Cloud VPN设置“Option 3”configuration,左边是两个Google Cloud VPN网关,右边是StrongSWAN或OpenSWAN: 如果您有两个对等VPN网关和两个计算引擎VPN网关,则每个计算引擎VPN网关都可以有一个指向每个对等VPN网关公共IP的隧道,从而为您提供VPN网关之间的四个负载均衡隧道,从而可能增加4倍的带宽。 问题是,据我所知,在主动/主动configuration(两个服务通道的隧道)中都要求这两个对等网关具有相同的rightsubnet ,这导致第二个隧道与“正在使用的路由”一起被rightsubnet : Sep 14 15:44:02 test-vpn ipsec: 002 added connection description "google1" Sep 14 15:44:02 test-vpn ipsec: 002 added connection description "google2" Sep 14 15:44:02 test-vpn ipsec: 003 "google2": cannot route — route already in use for "google1" Sep 14 15:44:02 test-vpn ipsec: 025 "google2": could not […]

在同一个系统上安装Racoon和Strongswan时遇到问题

我有两个需要运行的应用程序,一个使用Racoon来build立IPSec隧道,另一个使用Strongswan。 因此,我需要在我的Ubuntu 12.04盒子上同时安装Racoon和Strongswan。 但是,当我安装Strongswan时,它将删除Racoon,反之亦然。 我如何安装一个不删除其他? 谢谢!

Windows 7/8 Strongswan IKEv2错误的网关

我已经在官方软件包中安装了Ubuntu 14.04上的Strongswan。 我使用带有PKIauthentication的IKEv2和一个自定义授权插件。 这对使用strongswan的Android和Ubuntu客户端非常有用,但在使用Native Windows 7/8 IKEv2客户端时不起作用(机器证书authentication)。 我连接到VPN服务器就好了,但在vpn接口的状态标签上显示: 正如你所猜测的,我无法访问任何东西,因为我已经断开了路由。 我已经检查了IP的详细信息,客户端IPv4正确的是从VPN子网的strongswan池分配的IP。 (它不是NAT,所有的地址都是公共可路由的,除了我家NAT路由器后面的起始地址)

如何限制每个VPN连接的带宽?

我有一个StrongSwan(IKEv2)服务器设置,并希望将每个VPN连接限制为512kb / s。 经过研究,我在Ubuntu中遇到了tc 。 我不太明白这一点,正在通过手册进行斗争。 DEV=eth0 tc qdisc del dev $DEV root tc qdisc add dev $DEV handle 1: root htb default 11 tc qdisc add dev $DEV parent 1:11 handle 11: sfq perturb 60 我认为这意味着将未分类的stream量重新路由到ID 11,这将每隔60秒平均一次。 sqf也保证了请求之间数据stream的公平性。 队列algorithm扰动的时间间隔(秒)。 默认为0,这意味着没有扰动发生。 不要为每个扰动设置太低可能导致一些数据包重新sorting或丢失。 build议值:60当使用外部stream分类时,此值不起作用。 它更好地提高除数值以降低散列冲突的风险。 我不太确定这两个。 在我看来,主要连接将被限制在512kbps,未分类为128kbps。 但我不确定。 tc class add dev $DEV parent 1: classid […]

试图从OpenSWAN复制一个可用的IPSec / L2TPconfiguration到StrongSWAN

我有一个适用于RA的OpenSWAN实现,使用在AWS中运行的IPsec传输和l2tp作为通道。 这个实例有一个私有的IP,并且映射到一个公共的EIP。 我使用left和left leftsubnet参数的私有IP和公共leftid 。 我正在尝试configuration从同一个客户端到运行StrongSWAN(4.5.2)的新端点的IPSec连接。 我试图尽可能地将configuration从openswan复制到strongswan。 现在,我只是试图build立IPSec(不用担心l2tp),并且在第二阶段(阶段1正在完成)遇到问题。 configuration的差异是: — openswan.conf 2014-07-18 11:48:01.740966015 +0200 +++ strongswan.conf 2014-07-18 11:46:58.927569703 +0200 @@ -1,11 +1,14 @@ +version 2.0 + config setup – protostack=netkey + charonstart=no + interfaces="%none" nat_traversal=yes – virtual_private=%v4:192.168.10.0/24 oe=off – nhelpers=0 – interfaces=%defaultroute + virtual_private="%v4:192.168.11.0/24" + +conn %default + keyexchange=ikev1 conn remote-access forceencaps=yes type=transport ike=3des-sha1 – […]