需求分析
希望深信服 AF下一代防火墙 能和 CentOS 等其他 linux 设备对接标准 IPSEC VPN,并且实现内网互通。
拓扑结构
拓扑描述:
1.AF 和 CentOS 能通信,希望 AF 和 CentOS 建立 ipsec vpn 通道,使得分支内网 网段 192.168.2.0 可以通过和 AF 建立的标准 IPSEC vpn 通道与 AF 内网网段 192.168.1.0 通信。
2.分支访问 AF 内网 192.168.1.0 的网段的路由是指向 CentOS。
测试所需组件
1 2 3 | 深信服设备 AF CentOS6.9 linux 标准 IPSEC 软件 strongswan |
strongswan安装
1 | [root@centosserver ~]# yum install strongswan |
CentOS 上安装标准 ipsec 软件 strongswan 安装方法遇见遇见的困难如下:
报错1:安装 strongswan 的时候报错,报错如下:
1 2 3 4 5 6 7 | [root@centosserver ~]# yum install strongwan 已加载插件:fastestmirror, security 设置安装进程 YumRepo Error: All mirror URLs are not using ftp, http[s] or file. Eg. </html>/ removing mirrorlist with no valid mirrors: /var/cache/yum/x86_64/6/base/mirrorlist.txt 错误:Cannot retrieve repository metadata (repomd.xml) for repository: base. Please verify its path and try again |
解决办法:
重新安装 yum 源,这里重新安装 163 的 yum 源,如下:
1 2 3 4 5 6 7 8 9 10 11 | [1] 首先备份/etc/yum.repos.d/CentOS-Base.repo mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup [2] 进入 yum 源配置文件所在文件夹 [root@localhost yum.repos.d]# cd /etc/yum.repos.d/ [3] 下载 163 的 yum 源配置文件,放入/etc/yum.repos.d/(操作前请做好相应备份) [root@localhost yum.repos.d]# [4] 运行 yum makecache 生成缓存 [root@localhost yum.repos.d]# yum makecache [5] 更新系统 [root@localhost yum.repos.d]# yum -y update |
报错 2:yum makecache 生成缓存的时候报错,报错如下:
1 2 3 4 | [root@centosserver yum.repos.d]# yum makecache 已加载插件:fastestmirror, security 错误:File contains no section headers. file: file:///etc/yum.repos.d/CentOS6-Base-163.repo, line: 1 '<!DOCTYPE html>\r\n' |
解决办法:
/etc/yum.repos.d/CentOS6-Base-163.repo 取这个文件发现下载的是一个 AF 的认证界面, 原来是 CentOS 去获取 http://mirrors.163.com/.help/CentOS6-Base-163.repo 这个页面的 时候,AF 开启了认证,结果获取到 AF 的认证界面了,是 AF 拦截了,AF 开直通就行了。
报错 3:yum 源安装好, 但是 yum search strongswan 发现没有这个软件。
原因:但 centos 内置的 yum 源可用的软件偏少或者版本过低,通常我们需要使用 一些第三方的 yum 源,这里向大家推荐两个比较常用和权威的 yum 源,epel 和 remi。
解决办法:
1 2 3 4 5 6 7 8 9 10 | yum search strongswan 就可以看到 strongswan 了, yum install strongswan 就可以正常安装 strongswan 了。 [root@centosserver ~]# yum search strongswan 已加载插件:fastestmirror, security Loading mirror speeds from cached hostfile * epel: mirrors.ustc.edu.cn ======================================================================= ===================== N/S Matched: strongswan =========================================================================== ================== strongswan-libipsec.x86_64 : Strongswan's libipsec backend strongswan.x86_64 : An OpenSource IPsec-based VPN and TNC solution strongswan-tnc-imcvs.x86_64 : Trusted network connect (TNC)'s IMC/IMV functionality Name and summary matches only, use "search all" for everything. |
IPSEC VPN配置
1. 配置确认
CentOS 第一阶段配置:
1 2 3 4 5 | 主模式, 预共享密钥 sangfor123, 生存时间 3600s, 加密算法 AES-126,认证算法 SHA-1, 身份验证类型 IP:本地 id 10.1.131.9 对端 id 10.1.129.101 |
CentOS 第二阶段配置:
1 2 3 4 5 6 7 | 本端内网网段 192.168.2.0/24, 对端内网网段 192.168.1.0/24, 生存时间 3600s, 加密算法 AES-126, 认证算法 SHA-1 协议类型 ESP, 传输模式隧道模式 PFS 不启用。 |
AF7.x 第一阶段配置
1 2 3 4 5 | 主模式, 预共享密钥 sangfor123, 生存时间 3600s, 加密算法 AES-126,认证算法 SHA-1, 身份验证类型 IP:本地 id 10.1.129.101 对端 id 10.1.131.9 |
AF7.x 第二阶段配置
1 2 3 4 5 6 7 | 本端内网网段 192.168.1.0/24, 对端内网网段 192.168.2.0/24, 生存时间 3600s, 加密算法 AES-126,认证算法 SHA-1 协议类型 ESP, 传输模式隧道模式, PFS 不启用。 |
2. CentOS 上的 strongswan 软件配置
Strongswan 软件关于标准 ipsec 配置文件就两个:
/etc/strongswan/ipsec.conf 配置如下:
只需要往该配置文件里面加入如下参数,其他的配置保持不变。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 | conn sangfor keyexchange=ikev1 //IKE的版本 aggressive=no //是否启用野蛮模式,no 代表不启用,就是主模式 leftauth=psk Rightauth=psk left=10.1.131.9 //本端 ipsec 互联地址 right=10.1.129.101 //对端ipsec互联地址 leftid=10.1.131.9 //本端身份验证类型 rightid=10.1.129.101 //对端身份验证类型 ike=aes128-sha1-modp1024 // 第一阶段的认证算法、加密算法和 DH ikelifetime=8h //第一阶段的生存时间,h 代表小时 s 代表秒,m代表分 auto=start //是否启用自动连接 leftsubnet=192.168.2.0/24 //本端内网网段,即感兴趣流 rightsubnet=192.168.1.0/24 //对端内网网段,即感兴趣流 esp=aes128-sha1 //第二阶段的认证算法、加密算法和承载协议 keylife=8h //第二阶段的生存时间 28800s |
可以直接复制进去的文件如下:vi /etc/strongswan/ipsec.conf 把下面配置 复制进去 wq 保存,然后启动 strongswan 服务 service strongswan restart。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 | conn sangfor keyexchange=ikev1 aggressive=no leftauth=psk rightauth=psk left=10.1.131.9 right=10.1.129.101 leftid=10.1.131.9 rightid=10.1.129.101 ike=aes128-sha1-modp1024 ikelifetime=8h auto=start leftsubnet=192.168.2.0/24 rightsubnet=192.168.1.0/24 esp=aes128-sha1 keylife=8h |
/etc/strongswan/ipsec.secrets 配置如下:
注意该文件默认没有,vi 新增就行,这里面配置代表采用 psk 预共享密钥的形 式建立 ipsec VPN,密码是 sangfor123
10.1.131.9 10.1.129.101 : PSK sangfor123
格式:本端 vpn 互联 IP 对端互联 IP :PSK sangfor123
CentOS 配置截图如下:
Ipsec.conf 配置
Ipsec.secrets 配置
注意:修改/etc/strongswan/ipsec.conf 或者/etc/strongswan/ipsec.secrets 都需要重启服务 strongswan,service strongswan restart,否则修改不生效。
3. AF7.x 上的 IPSECVPN 配置
AF 第一阶段的配置如下:
AF 第二阶段入站配置如下:
AF 第二阶段出站配置如下:
AF 安全选项配置如下:
验收结果
查看 AF dlan 运行状态以及系统故障日志发现 vpn 通道建立成功
转载请注明来自Lybbn(lybbn.cn)
本文链接:https://www.kinber.cn/post/691.html 转载需授权!
推荐本站淘宝优惠价购买喜欢的宝贝: