- 博客(51)
- 资源 (5)
- 论坛 (1)
- 收藏
- 关注
原创 自动创建XFRM虚拟接口的net2net形式的IPSEC
以下根据strongswan代码中的testing/tests/route-based/net2net-xfrmi/中的测试环境,来看一下基于路由和XFRM接口的安全连接。在配置中sun网关使用特殊值%unique-dir自动为in/out两个方向创建不同ID值的xfrm虚拟设备;而moon网关仍然使用在swanctl.conf文件中手动指定xfrm接口ID值,并且手动创建XFRM接口的方法。su...
2019-11-22 10:35:58
285
原创 SWAN之ikev2协议multi-level-ca-cr-resp配置测试
本测试主要验证多级CA证书验证的功能,远程用户carol,dave与网关moon建立连接时,carol和dave使用中间CA证书以及中间CA所签发的实体证书,moon主机使用CA根证书。在认证过程中,carol和dave在IKE_AUTH请求消息中将中间CA证书发送给moon主机。本次测试拓扑如下:carol主机配置carol的配置文件:ikev2/multi-level-ca-cr-res...
2019-11-12 20:41:29
82
原创 SWAN之ikev2协议multi-level-ca-cr-init配置测试
本测试主要验证多级CA证书验证的功能,远程用户moon与网关carol,dave建立连接时,carol和dave使用中间CA证书以及中间CA所签发的实体证书,moon主机使用CA根证书。在认证过程中,carol和dave在IKE_AUTH响应消息中将中间CA证书发送给moon主机。本次测试拓扑如下:carol网关配置carol的配置文件:ikev2/multi-level-ca-cr-ini...
2019-11-12 20:40:24
80
原创 SWAN之ikev2协议multi-level-ca配置测试
本测试主要验证多级CA证书验证的功能,远程用户carol,dave与网关moon建立连接时,分别使用中间CA证书所签发的实体证书,分配给carol的证书仅可访问moon网关之后的alice主机;dave的证书仅可访问venus主机。两个中间CA证书的名称CN分别为"Research CA"和"Sales CA"。本次测试拓扑如下:carol主机配置carol的配置文件:ikev2/multi...
2019-11-12 20:39:06
376
原创 SWAN之ikev2协议multi-auth-rsa-eap-sim-id配置测试
本测试主要验证多重认证功能,远程用户carol,dave与网关mooon建立连接时,首先使用IKE RSA签名和相关证书进行认证;完成之后,再进行EAP-SIM认证。在测试中,由alice主机充当radius服务器,对于carol,使用文件/etc/ipsec.d/triplets.dat中的数据模拟物理SIM卡。网关moon负责转发所有的EAP消息到Radius服务器,alice同样使用定义好的...
2019-11-12 20:38:16
294
原创 SWAN之ikev2协议mobike-virtual-ip-nat配置测试
本测试主要验证mobike功能,远程用户alice与网关sun建立连接时,首先使用eth1接口的IP地址发起连接,在建立连接之后,禁用eth1,以便连接可更新到eth0接口上。其中alice主机的两个接口与sun网关之间都是可达的,最后再次启用eth1接口,由于开启了最佳路径选择功能(charon.prefer_best_path),连接又回到eth1上。本次测试拓扑如下: ...
2019-11-11 19:34:24
125
原创 SWAN之ikev2协议mobike-nat配置测试
本测试主要验证mobike-nat功能,远程用户alice与网关sun建立连接时,首先使用eth1接口的IP地址发起连接,在建立连接之后,禁用eth1,以便连接可更新到eth0接口上。其中alice主机的两个接口与sun网关之间都是可达的,alice的eth0接口与sun网关之后有NAT设备moon路由器。此环境中为远程用户配置虚拟IP地址,即使连接地址发送变化,IPsec策略也可保持不变。本次测...
2019-11-11 19:33:23
147
原创 SWAN之ikev2协议mobike配置测试
本测试主要验证远程用户alice与网关sun建立连接时,首先使用eth1接口的IP地址发起连接,在建立连接之后,禁用eth1,以便连接可更新到eth0接口上。其中alice主机的两个接口与sun网关之间都是可达的。以此测试mobike功能。本次测试拓扑如下: eth1 |--------| 192.168.0.50 ...
2019-11-11 19:31:58
308
原创 SWAN之ikev2协议lookip配置测试
本测试主要验证远程用户carol、dave与网关moon建立连接时,通过在ipsec.conf文件中指定leftsourceip字段值为%config,由moon获取虚拟IP地址的功能。并在moon上使用ipsec lookip命令进行验证。本次测试拓扑如下:主机配置carol的配置文件:ikev2/lookip/hosts/carol/etc/ipsec.conf,内容如下,主要注意是这里...
2019-11-11 19:30:34
223
原创 SWAN之ikev2协议ip-two-pools-v4v6-db配置测试
本测试主要验证远程用户carol通过设置ipsec.conf文件中的leftsourceip等于%config4和%config6,在与网关moon建立连接时,请求获取虚拟IPv4和IPv6地址的功能。测试中moon网关在rightsourceip字段定义了IPv4和IPv6类型的sqlite虚拟地址池。连接建立之后,IPv4和IPv6的流量都将被封装在隧道内。本次测试拓扑如下:主机配置ca...
2019-11-11 19:29:48
111
原创 SWAN之ikev2协议ip-two-pools-v4v6配置测试
本测试主要验证远程用户carol通过设置ipsec.conf文件中的leftsourceip等于%config4和%config6,在与网关moon建立连接时,请求获取虚拟IPv4和IPv6地址的功能。测试中moon网关在rightsourceip字段定义了IPv4和IPv6的虚拟地址段。连接建立之后,IPv4和IPv6的流量都将被封装在隧道内。本次测试拓扑如下:主机配置carol的配置文件...
2019-11-11 19:29:02
94
原创 SWAN之ikev2协议ip-two-pools-mixed配置测试
本测试主要验证远程用户carol和alice,通过设置ipsec.conf文件中的leftsourceip等于%config,在与网关moon建立连接时,请求获取虚拟IP地址的功能。测试中moon网关定义了两个连接,对应于moon的接口eth0和eth1,分别用于服务carol和alice主机,一个链接使用rightsourceip=%intpool的地址池方式定义;另外一个连接使用简单的网段定义...
2019-11-11 19:27:00
146
原创 SWAN之ikev2协议ip-two-pools-db配置测试
本测试主要验证外部用户carol、dave和内部用户alice、venus,通过设置ipsec.conf文件中的leftsourceip等于%config,在与网关moon建立连接时,请求获取虚拟IP地址的功能。moon网关创建了两个连接,为外部和内部用户配置了不同的虚拟IP地址池。通过定义subnet字段为10.3.0.0/16,10.4.0.0/16,即两个IP地址池的网段,实现hub-and...
2019-11-11 19:26:15
131
原创 SWAN之ikev2协议ip-two-pools配置测试
本测试主要验证远程用户carol和alice,通过设置ipsec.conf文件中的leftsourceip等于%config,在与网关moon建立连接时,请求获取虚拟IP地址的功能。测试中moon网关定义了两个连接,对应于moon的接口eth0和eth1,分别用于服务carol和alice主机,并且定义了两个地址池分配虚拟IP地址。本次测试拓扑如下:主机配置carol的配置文件:ikev2/...
2019-11-11 19:23:44
104
原创 SWAN之ikev2协议ip-split-pools-db配置测试
本测试主要验证远程用户carol和dave,通过设置ipsec.conf文件中的leftsourceip等于%config,在与网关moon建立连接时,请求获取虚拟IP地址的功能。测试中moon定义了两个地址池,在第一个地址池地址耗尽之后,使用第二个地址池分配IP地址。本次测试拓扑如下:主机配置carol的配置文件:ikev2/ip-split-pools-db/hosts/carol/et...
2019-11-11 19:22:52
53
原创 SWAN之ikev2协议ip-pool-wish配置测试
本测试主要验证远程用户carol和dave,通过设置ipsec.conf文件中的leftsourceip等于某个IP地址,在与网关moon建立连接时,请求获取指定的虚拟IP地址的功能。测试中carol和dave都将leftsourceip字段指定为10.3.0.1,但是carol首先发起连接,获得了想要的虚拟地址。dave之后发起连接,虽然也是请求地址10.3.0.1,但是由于已经分配出去,moo...
2019-11-07 20:49:38
56
原创 SWAN之ikev2协议ip-pool-db配置测试
本测试主要验证远程用户carol和dave,通过设置ipsec.conf文件中的leftsourceip等于%config,在与网关moon建立连接时,获取虚拟IP地址的功能。moon网关通过rightsourceip字段指定关键字%bigpool,由数据库中分配虚拟IP地址。测试中使用命令ipsec pool --name bigpool --start 10.3.0.1 --end 10.3....
2019-11-07 20:48:26
140
原创 SWAN之ikev2协议ip-pool配置测试
本测试主要验证远程用户carol和dave,通过设置ipsec.conf文件中的leftsourceip等于%config,在与网关moon建立连接时,获取虚拟IP地址的功能。moon网关通过rightsourceip字段指定虚拟IP地址池。本次测试拓扑如下:主机配置carol的配置文件:ikev2/ip-pool/hosts/carol/etc/ipsec.conf,内容如下,主要注意是这...
2019-11-07 20:46:40
158
原创 SWAN之ikev2协议host2host-transport-nat配置测试
本测试主要说明在NAT网关moon之后的两个VPN客户端(alice和venus)使用传输模式连接外部VPN网关(sun)时的问题。由于sun网关上的安全策略冲突,导致后者的连接将替换前者的连接。另外,当alice建立连接之后,如果venus不进行连接的建立,而执行ping网关sun的操作,将没有回复,原因是此报文匹配sun网关的加密策略(alice所建立),但是报文并没有加密,被丢弃(文件/pr...
2019-11-07 20:45:17
150
原创 SWAN之ikev2协议host2host-transport-connmark配置测试
本测试在NAT网关moon背后的两台主机alice和venus上发起到外部sun网关的安全连接,使用传输模式。sun网关使用connmark插件和netfilter标记mark来区分两个安全连接,以便可与NAT网关之后的两个主机通信。本次测试拓扑如下:测试配置alice的配置文件:ikev2/host2host-transport-connmark/hosts/alice/etc/ipsec...
2019-11-07 20:43:15
139
原创 SWAN之ikev2协议inactivity-timeout配置测试
本测试主要验证carol与sun网关建立连接,同时carol设置inactivity空闲时长为10秒,在超时之后删除连接的功能。本次测试拓扑如下:配置carol的配置文件:ikev2/inactivity-timeout/hosts/carol/etc/ipsec.conf,内容如下,inactivity字段指定空闲时长为10秒,超过此时长,将删除建立的子连接。conn %default...
2019-11-06 20:49:00
182
原创 SWAN之ikev2协议host2host-transport配置测试
本测试主要验证moon与sun主机传输模式的连接建立,本次测试拓扑如下:配置sun的配置文件:ikev2/host2host-transport/hosts/sun/etc/ipsec.conf,内容如下,type字段指定使用传输模式transport。conn host-host left=PH_IP_SUN leftcert=sunCert.pem ...
2019-11-06 20:22:32
212
原创 SWAN之ikev2协议host2host-swapped配置测试
本测试主要验证moon与sun主机基于X.509证书认证的连接场景,在配置文件ipsec.conf中使用right相关关键字表示本地配置,而使用left表示对端的配置,已测试strongswan的配置选择功能。本次测试拓扑如下:配置sun的配置文件:ikev2/host2host-swapped/hosts/sun/etc/ipsec.conf,内容如下,无特殊配置。conn host-h...
2019-11-06 20:21:04
83
原创 SWAN之ikev2协议host2host-cert配置测试
本测试主要验证moon与sun主机基于X.509证书认证的连接场景,本次测试拓扑如下:配置sun的配置文件:ikev2/host2host-cert/hosts/sun/etc/ipsec.conf,内容如下,无特殊配置。conn host-host left=PH_IP_SUN leftcert=sunCert.pem leftid=@su...
2019-11-06 20:19:50
65
原创 SWAN之ikev2协议host2host-ah配置测试
本测试主要验证moon与sun主机使用AH协议的传输模式建立连接的场景,使用AES-XCBC算法。本次测试拓扑如下:配置sun的配置文件:ikev2/host2host-ah/hosts/sun/etc/ipsec.conf,内容如下,主要注意是这里的type字段值transport,指定使用传输模式。ah字段表明AH协议封装采用AES-XCBC校验算法。conn %default ...
2019-11-06 20:17:07
157
原创 SWAN之ikev2协议forecast配置测试
本测试中远程用户carol,dave分别与网关sun建立连接时,并获取虚拟IP地址,moon网关与两个远程用户协商多播和广播的流量选择符,并且使用mark值做区分。网关moon上的forecast插件负责按照netfilter规则对流量进行标记mark,并且在网关以及远程用户之间转发多播/广播流量。本次测试拓扑如下:配置carol的配置文件:ikev2/forecast/hosts/caro...
2019-11-06 20:15:57
68
原创 SWAN之ikev2协议force-udp-encaps配置测试
本测试主要验证远程用户alice与网关sun建立连接时,强制启用UDP封装的功能。通过在alice的ipsec.conf文件中定义forceencaps等于yes实现。本次测试拓扑如下:alice主机配置alice的配置文件:ikev2/force-udp-encaps/hosts/alice/etc/ipsec.conf,内容如下,主要注意是这里的forceencaps字段值yes,强制开...
2019-11-06 20:02:31
276
原创 SWAN之ikev2协议farp配置测试
本测试主要验证远程用户carol、dave与网关moon建立连接时,并且通过在ipsec.conf文件中设置leftsourceip=%config,向moon网关请求虚拟IP地址,此虚拟地址位于10.1.0.0/16网段,得到虚拟IP地址的carol和dave主机相当位于和主机alice(10.1.0.10)相同的网段。借助于moon网关的farp代理插件,alice主机可与carol和dave...
2019-11-05 20:43:20
124
原创 SWAN之ikev2协议esp-alg-sha1-160配置测试
本测试主要验证远程用户carol与网关moon建立连接时,通过在ipsec.conf文件中设置esp=naes128-sha1_160!,而采用ESP套件:AES_CBC_128 / HMAC_SHA1_160的过程。本次测试拓扑如下:carol主机配置carol的配置文件:ikev2/esp-alg-sha1-160/hosts/carol/etc/ipsec.conf,内容如下,IKE使...
2019-11-05 20:38:24
189
原创 SWAN之ikev2协议esp-alg-null配置测试
本测试主要验证远程用户carol与网关moon建立连接时,通过在ipsec.conf文件中设置esp=null-sha256!,而采用ESP套件:NULL / HMAC_SHA256_128的过程。本次测试拓扑如下:carol主机配置carol的配置文件:ikev2/esp-alg-null/hosts/carol/etc/ipsec.conf,内容如下,IKE使用aes128-sha256...
2019-11-05 20:36:54
146
原创 SWAN之ikev2协议esp-alg-md5-128配置测试
本测试主要验证远程用户carol与网关moon建立连接时,通过在ipsec.conf文件中设置esp=3des-md5_128!,而采用ESP套件:DES_CBC / HMAC_MD5_128的过程。本次测试拓扑如下:carol主机配置carol的配置文件:ikev2/esp-alg-md5-128/hosts/carol/etc/ipsec.conf,内容如下,IKE使用3des-md5-...
2019-11-05 20:35:52
112
原创 SWAN之ikev2协议esp-alg-aes-gmac配置测试
本测试主要验证远程用户carol和网关moon使用ESP套件:NULL_AES_GMAC_256建立的仅认证的连接,在配置文件ipsec.conf中通过设置esp=aes256gmac-curve25519! 实现。本次测试拓扑如下:carol主机配置carol的配置文件:ikev2/esp-alg-aes-gmac/hosts/carol/etc/ipsec.conf,内容如下,IKE使用...
2019-11-05 20:34:42
152
原创 SWAN之ikev2协议dynamic-two-peers配置测试
本测试中,carol与dave主机以及moon网关都使用动态IP地址配置,远程用户carol和dave在配置文件中的right字段指定网关的域名。moon网关建立两个连接,分别制定carol和dave的域名,在moon网关的文件/etc/hosts中保存已经过期的carol和dave的域名和IP的对应关系。实际测试中远程用户carol、dave使用新的IP地址和网关moon建立连接。本次测试拓扑...
2019-11-05 20:33:31
43
原创 SWAN之ikev2协议dynamic-initiator配置测试
本测试中,carol主机和moon网关都使用动态IP地址,远程用户carol在配置的right字段指定网关的域名。IKE服务通过DNS查找域名(通过/etc/hosts文件中的项模拟)。这种情况下,IP地址有可能会改变,但是连接主机的ID保持不变。在一个新的连接请求,包含与之前建立的连接相同的ID到达时,可使用新的连接代替之前连接。实际测试中远程用户carol和网关moon建立连接之后,使用远程...
2019-11-05 20:32:21
96
原创 SWAN之ikev2协议dpd-restart配置测试
本测试主要验证远程用户carol和网关moon建立连接之后,由于链路问题,导致DPD(Dead Peer Detection)检测报文没有响应,之后链路恢复,自动重新建立连接的功能。本次测试拓扑如下:carol主机配置carol的配置文件:ikev2/dpd-restart/hosts/carol/etc/ipsec.conf,内容如下,keyexchange字段为ikev2,表示采用IKE...
2019-11-05 20:29:49
505
原创 SWAN之ikev2协议dpd-hold配置测试
本测试主要验证远程用户carol和网关moon建立连接之后,由于链路问题,导致DPD(Dead Peer Detection)检测报文没有响应,之后链路恢复,重新建立连接的功能。本次测试拓扑如下:carol主机配置carol的配置文件:ikev2/dpd-hold/hosts/carol/etc/ipsec.conf,内容如下,keyexchange字段为ikev2,表示采用IKEv2协议。...
2019-11-05 20:28:26
309
原创 SWAN之ikev2协议dpd-clear配置测试
本测试主要验证远程用户carol和网关moon建立连接之后,由于链路问题,导致DPD(Dead Peer Detection)检查报文没有响应,删除连接的功能。本次测试拓扑如下:carol主机配置carol的配置文件:ikev2/dpd-clear/hosts/carol/etc/ipsec.conf,内容如下,keyexchange字段为ikev2,表示采用IKEv2协议。left字段的值...
2019-11-05 20:24:01
391
原创 SWAN之ikev2协议double-nat-net配置测试
本测试主要验证分别位于NAT网关moon和sun之后的用户alice和bob建立连接的功能。其中由alice发起连接,moon网关执行SNAT变化,sun网关执行DNAT变化,strongswan在此情况下检测到NAT网关的存在,启用NAT-T功能。最后在NAT网关sun上配置路由,为bob所在网段的主机提供远程服务。本次测试拓扑如下:alice主机配置alice的配置文件:ikev2/do...
2019-11-05 20:22:36
153
原创 SWAN之ikev2协议double-nat配置测试
本测试主要验证分别位于NAT网关moon和sun之后的用户alice和bob建立连接的功能。其中由alice发起连接,moon网关执行SNAT变化,sun网关执行DNAT变化,strongswan在此情况下检测到NAT网关的存在,启用NAT-T功能。本次测试拓扑如下:alice主机配置alice的配置文件:ikev2/double-nat/hosts/alice/etc/ipsec.conf...
2019-11-05 20:20:01
256
原创 SWAN之ikev2协议dhcp-static-mac配置测试
本测试主要验证网关moon通过DHCP协议由服务器获取地址,在DHCP发现报文中携带客户端的ID信息,获取指定地址,但是本次测试虽然携带了ID字段,但是在DHCP服务器中配置了基于特定MAC地址的IP分配,分配给远程客户端carol和dave的功能,以及moon网关上farp插件的arp代理功能。DHCP服务器为主机venus(10.1.0.20),其IP池的范围是:10.1.0.50到10.1....
2019-11-04 20:51:54
194
redwingz的留言板
发表于 2020-01-02 最后回复 2020-01-02
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人 TA的粉丝