- 1利用tensroflow2构建简单的gan模型来生成振动信号_gan 振动数据
- 2机器学习中回归分析(多变量)_多变量svr
- 3MQ-如何保证消息不丢不重_mq如何避免消息重复和消息丢失
- 4Kubernetes 使用 ceph-csi 消费 RBD 作为持久化存储_ceph csi rbd
- 5探索TeleBot:轻松构建Telegram机器人
- 6主流Web架构相互比较_web框架性能对比
- 7【吊打面试官系列-MyBatis面试题】Mybatis 是否支持延迟加载?如果支持,它的实现原理是什么?
- 8ACM会议列表与介绍(2014/05/06)
- 9libheif—— 1、Vs2017搭建libheif开发环境
- 102024C++信息素养大赛-智能算法应用挑战赛_复赛真题(广东省)题目+参考答案和详细解析
ubuntu16.04编译安装测试strongswan_authby=secret
赞
踩
1.参考https://blog.csdn.net/puppylpg/article/details/64918562
配置net2net-psk
其中sudo apt-get install strongswan 这个不靠谱。最后执行sudo ipsec up net-net会报错
DH group selection failed
暂时无法解决。放弃。
不过他提供的组网图 和 组网模式 还是不错的。可以照搬。
2.参考https://blog.csdn.net/kakabuqinuo/article/details/100728813
一 。只测试net-net-psk
举另外一个例子
/etc/ipsec.conf
A:
conn net-net-psk
keyexchange=ikev2
authby=secret
left=192.168.X.A
leftsubnet=192.85.0.0/16
leftid=@xxx.server.com
leftfirewall=yes
right=192.168.X.B
rightsubnet=192.86.0.0/16
rightid=@yyy.server.com
auto=add
B:
conn net-net-psk
keyexchange=ikev2
authby=secret
left=192.168.X.B
leftsubnet=192.86.0.0/16
leftid=@yyy.server.com
leftfirewall=yes
right=192.168.X.A
rightsubnet=192.85.0.0/16
rightid=@xxx.server.com
auto=add
/etc/ipsec.secrets
AB一样
: RSA serverkey.pem
: RSA clientkey.remoteserver.pem
moon : EAP “moon”
@xxx.server.com @yyy.server.com : PSK hello
/etc/strongswan.conf
不改变 还是用https://blog.csdn.net/puppylpg/article/details/64918562里面的
我是用这种方式测试成功的
二。如果是组网环境是 应该如何配置 只测试net-net-psk
A-B-C-D 主机名
/etc/ipsec.conf
C
config setup
uniqueids=no
conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyingtries=1
keyexchange=ikev2
mobike=no
conn networkmanager-strongswan
keyexchange=ikev1
left=%any
leftid=@xxx.server.com
leftauth=pubkey
leftfirewall=yes
leftsubnet=0.0.0.0/0
leftcert=servercert.pem
right=%any
rightauth=pubkey
rightsourceip=10.39.165.0/24
rightcert=clientcert.pem
auto=add
conn net-net
keyexchange=ikev1
left=192.168.0.2
leftcert=sun.server.cert.pem
leftsubnet=10.2.0.0/16
leftid=@sun.com
leftfirewall=yes
right=192.168.0.1
rightsubnet=10.1.0.0/16
rightid=@moon.com
rightcert=moon.server.cert.pem
auto=add
conn net-net-psk
keyexchange=ikev1
authby=secret
left=192.168.0.2
leftsubnet=10.2.0.0/16
leftid=@yyy.server.com
leftfirewall=yes
right=192.168.0.1
rightsubnet=10.1.0.0/16
rightid=@xxx.server.com
ike=aes-sha1-modp1024
esp=aes-sha1-modp1024
auto=route
type=tunnel
B
config setup
uniqueids=no
conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyingtries=1
keyexchange=ikev2
mobike=no
conn networkmanager-strongswan
keyexchange=ikev1
left=%any
leftid=@xxx.server.com
leftauth=pubkey
leftfirewall=yes
leftsubnet=0.0.0.0/0
leftcert=servercert.pem
right=%any
rightauth=pubkey
rightsourceip=10.39.165.0/24
rightcert=clientcert.pem
auto=add
conn net-net
keyexchange=ikev1
left=192.168.0.1
leftcert=moon.server.cert.pem
leftsubnet=10.1.0.0/16
leftid=@moon.com
leftfirewall=yes
right=192.168.0.2
rightsubnet=10.2.0.0/16
rightid=@sun.com
rightcert=sun.server.cert.pem
auto=add
conn net-net-psk
keyexchange=ikev1
authby=secret
left=192.168.0.1
leftsubnet=10.1.0.0/16
leftid=@xxx.server.com
leftfirewall=yes
right=192.168.0.2
rightsubnet=10.2.0.0/16
rightid=@yyy.server.com
ike=aes-sha1-modp1024
esp=aes-sha1-modp1024
auto=route
type=tunnel
/etc/ipsec.secrets
BC一样
: RSA serverkey.pem
: RSA clientkey.remoteserver.pem
moon : EAP “moon”
@xxx.server.com @yyy.server.com : PSK hello
/etc/strongswan.conf
不改变 还是用https://blog.csdn.net/puppylpg/article/details/64918562里面的
我是用这种方式测试成功的
三。Road Warrior 模式,环境1描述如下:
机器名A-C-D
VPN client(192.168.0.1) <—> VPN server(双网卡:192.168.0.2 10.2.0.1) <—> 子网客户机(10.2.0.10)
配置
A
conn net-net-psk
keyexchange=ikev2
authby=secret
left=192.168.0.1
leftid=@xxx.server.com
leftfirewall=yes
right=192.168.0.2
rightsubnet=10.2.0.0/16
rightid=@yyy.server.com
auto=add
C
conn net-net-psk
keyexchange=ikev2
authby=secret
left=192.168.0.2
leftsubnet=10.2.0.0/16
leftid=@yyy.server.com
leftfirewall=yes
right=%any
rightid=@xxx.server.com
auto=add
四。Road Warrior 模式,环境2描述如下:
机器名A-B-C-D
eth0 eth1
VPN client(10.1.0.10) <—> 某某网关(双网卡:192.168.0.1 10.1.0.1)<—> VPN server(双网卡:192.168.0.2 10.2.0.1) <—> 子网客户机(10.2.0.10)
需要先做几个操作
在C上操作sudo route add default gw 192.168.0.1
配置
A
conn net-net-psk
keyexchange=ikev2
authby=secret
left=10.1.0.10
leftid=@xxx.server.com
leftfirewall=yes
right=192.168.0.2
rightsubnet=10.2.0.0/16
rightid=@yyy.server.com
auto=add
C
conn net-net-psk
keyexchange=ikev2
authby=secret
left=192.168.0.2
leftsubnet=10.2.0.0/16
leftid=@yyy.server.com
leftfirewall=yes
right=%any
rightid=@xxx.server.com
auto=add
五 补充说明
- 当两边的auto=add时 只用一边启用UP命令即可。
- 野蛮模式怎么开启
ipsec.conf 增加 aggressive=yes
strongswan.conf 改为
charon {
i_dont_care_about_security_and_use_aggressive_mode_psk = yes
duplicheck.enable = no
threads = 16
compress = yes
load_modular = yes
plugins {
include strongswan.d/charon/*.conf
}
dns1 = 8.8.8.8
dns2 = 114.114.114.114
}
