×

SANGFOR_IPSEC_CentOS和深信服设备对接标准IPSEC测试指导

hqy hqy 发表于2019-05-09 18:50:52 浏览2767 评论0

抢沙发发表评论

需求分析


希望深信服 AF下一代防火墙 能和 CentOS 等其他 linux 设备对接标准 IPSEC VPN,并且实现内网互通。


拓扑结构


sangfor af与linux的centos ipsec vpn标准对接01.png


拓扑描述:


1.AF 和 CentOS 能通信,希望 AF 和 CentOS 建立 ipsec vpn 通道,使得分支内网 网段 192.168.2.0 可以通过和 AF 建立的标准 IPSEC vpn 通道与 AF 内网网段 192.168.1.0 通信。


2.分支访问 AF 内网 192.168.1.0 的网段的路由是指向 CentOS。


测试所需组件


mportant; padding: 0px; width: 941px; position: relative !important; overflow: auto !important; font-size: 1em !important; background-color: rgb(18, 18, 18) !important;">
1
2
3
深信服设备 AF
CentOS6.9
linux 标准 IPSEC 软件 strongswan


strongswan安装


1
[root@centosserver ~]# yum install strongswan


CentOS 上安装标准 ipsec 软件 strongswan 安装方法遇见遇见的困难如下:


报错1:安装 strongswan 的时候报错,报错如下:


1
2
3
4
5
6
7
[root@centosserver ~]# yum install strongwan
已加载插件:fastestmirror, security
设置安装进程
YumRepo Error: All mirror URLs are not using ftp, http[s] or file.
Eg. </html>/
removing mirrorlist with no valid mirrors: /var/cache/yum/x86_64/6/base/mirrorlist.txt
错误:Cannot retrieve repository metadata (repomd.xml) for repository: base. Please verify its path and try again


解决办法:


重新安装 yum 源,这里重新安装 163 的 yum 源,如下:


1
2
3
4
5
6
7
8
9
10
11
[1] 首先备份/etc/yum.repos.d/CentOS-Base.repo
mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup
[2] 进入 yum 源配置文件所在文件夹
[root@localhost yum.repos.d]# cd /etc/yum.repos.d/
[3] 下载 163 的 yum 源配置文件,放入/etc/yum.repos.d/(操作前请做好相应备份)
[root@localhost yum.repos.d]#
[4] 运行 yum makecache 生成缓存
[root@localhost yum.repos.d]# yum makecache
[5] 更新系统
[root@localhost yum.repos.d]# yum -y update


报错 2:yum makecache 生成缓存的时候报错,报错如下:


1
2
3
4
[root@centosserver yum.repos.d]# yum makecache
已加载插件:fastestmirror, security
错误:File contains no section headers.
file: file:///etc/yum.repos.d/CentOS6-Base-163.repo, line: 1 '<!DOCTYPE html>\r\n'



解决办法:


/etc/yum.repos.d/CentOS6-Base-163.repo 取这个文件发现下载的是一个 AF 的认证界面, 原来是 CentOS 去获取 http://mirrors.163.com/.help/CentOS6-Base-163.repo 这个页面的 时候,AF 开启了认证,结果获取到 AF 的认证界面了,是 AF 拦截了,AF 开直通就行了。


报错 3:yum 源安装好, 但是 yum search strongswan 发现没有这个软件。


原因:但 centos 内置的 yum 源可用的软件偏少或者版本过低,通常我们需要使用 一些第三方的 yum 源,这里向大家推荐两个比较常用和权威的 yum 源,epel 和 remi。


解决办法:


1
2
3
4
5
6
7
8
9
10
yum search strongswan 就可以看到 strongswan 了,
yum install strongswan 就可以正常安装 strongswan 了。
[root@centosserver ~]# yum search strongswan
已加载插件:fastestmirror, security
Loading mirror speeds from cached hostfile
* epel: mirrors.ustc.edu.cn =======================================================================
===================== N/S Matched: strongswan =========================================================================== ==================
strongswan-libipsec.x86_64 : Strongswan's libipsec backend strongswan.x86_64 : An OpenSource IPsec-based VPN and TNC solution strongswan-tnc-imcvs.x86_64 : Trusted network connect (TNC)'s IMC/IMV
functionality
Name and summary matches only, use "search all" for everything.


IPSEC VPN配置


1. 配置确认


CentOS 第一阶段配置:


1
2
3
4
5
主模式,
预共享密钥 sangfor123,
生存时间 3600s,
加密算法 AES-126,认证算法 SHA-1,
身份验证类型 IP:本地 id 10.1.131.9 对端 id 10.1.129.101


CentOS 第二阶段配置:


1
2
3
4
5
6
7
本端内网网段 192.168.2.0/24,
对端内网网段 192.168.1.0/24,
生存时间 3600s,
加密算法 AES-126,
认证算法 SHA-1 协议类型 ESP,
传输模式隧道模式
PFS 不启用。


AF7.x 第一阶段配置


1
2
3
4
5
主模式,
预共享密钥 sangfor123,
生存时间 3600s,
加密算法 AES-126,认证算法 SHA-1,
身份验证类型 IP:本地 id 10.1.129.101 对端 id 10.1.131.9


AF7.x 第二阶段配置


1
2
3
4
5
6
7
本端内网网段 192.168.1.0/24,
对端内网网段 192.168.2.0/24,
生存时间 3600s,
加密算法 AES-126,认证算法 SHA-1
协议类型 ESP,
传输模式隧道模式,
PFS 不启用。



2. CentOS 上的 strongswan 软件配置


Strongswan 软件关于标准 ipsec 配置文件就两个:


/etc/strongswan/ipsec.conf 配置如下:


只需要往该配置文件里面加入如下参数,其他的配置保持不变。


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
conn sangfor
    keyexchange=ikev1 //IKE的版本
    aggressive=no //是否启用野蛮模式,no 代表不启用,就是主模式 leftauth=psk
    Rightauth=psk
    left=10.1.131.9 //本端 ipsec 互联地址
    right=10.1.129.101 //对端ipsec互联地址
    leftid=10.1.131.9 //本端身份验证类型
    rightid=10.1.129.101 //对端身份验证类型
    ike=aes128-sha1-modp1024 // 第一阶段的认证算法、加密算法和 DH 
    ikelifetime=8h //第一阶段的生存时间,h 代表小时 s 代表秒,m代表分
    auto=start //是否启用自动连接
    leftsubnet=192.168.2.0/24 //本端内网网段,即感兴趣流
    rightsubnet=192.168.1.0/24 //对端内网网段,即感兴趣流
    esp=aes128-sha1 //第二阶段的认证算法、加密算法和承载协议
    keylife=8h //第二阶段的生存时间 28800s


可以直接复制进去的文件如下:vi /etc/strongswan/ipsec.conf 把下面配置 复制进去 wq 保存,然后启动 strongswan 服务 service strongswan restart。


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
conn sangfor
    keyexchange=ikev1
    aggressive=no
    leftauth=psk
    rightauth=psk
    left=10.1.131.9
    right=10.1.129.101
    leftid=10.1.131.9
    rightid=10.1.129.101
    ike=aes128-sha1-modp1024
    ikelifetime=8h
    auto=start
    leftsubnet=192.168.2.0/24
    rightsubnet=192.168.1.0/24
    esp=aes128-sha1
    keylife=8h


/etc/strongswan/ipsec.secrets 配置如下:


注意该文件默认没有,vi 新增就行,这里面配置代表采用 psk 预共享密钥的形 式建立 ipsec VPN,密码是 sangfor123

10.1.131.9 10.1.129.101 : PSK sangfor123


格式:本端 vpn 互联 IP 对端互联 IP :PSK sangfor123


CentOS 配置截图如下:


Ipsec.conf 配置


sangfor af与linux的centos ipsec vpn标准对接02.png


Ipsec.secrets 配置


sangfor af与linux的centos ipsec vpn标准对接03.png


注意:修改/etc/strongswan/ipsec.conf 或者/etc/strongswan/ipsec.secrets 都需要重启服务 strongswan,service strongswan restart,否则修改不生效。


3. AF7.x 上的 IPSECVPN 配置


AF 第一阶段的配置如下:


sangfor af与linux的centos ipsec vpn标准对接04.png


AF 第二阶段入站配置如下:


sangfor af与linux的centos ipsec vpn标准对接05.png


AF 第二阶段出站配置如下:


sangfor af与linux的centos ipsec vpn标准对接06.png


AF 安全选项配置如下:


sangfor af与linux的centos ipsec vpn标准对接07.png


验收结果


查看 AF dlan 运行状态以及系统故障日志发现 vpn 通道建立成功


sangfor af与linux的centos ipsec vpn标准对接08.png


转载请注明来自Lybbn(lybbn.cn)


打赏

本文链接:https://www.kinber.cn/post/691.html 转载需授权!

分享到:


推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

 您阅读本篇文章共花了: 

群贤毕至

访客