#原创分享#AF8.0.23新功能之IPSecVPN IKEv2协议对接linux openswan
  

yzy 31803人觉得有帮助

{{ttag.title}}
本帖最后由 yzy 于 2020-4-26 16:33 编辑

一、网络拓扑图:

1587889941(1).jpg
通过安装openswan实现IPSEC VPN对接AF


二、AF端配置
1、AF配置必要条件:
(1)IPSecVPN 必须要有IPSEC VPN的模块授权,如果对接的是第三方的设备还需要有分支授权
(2)必须有一个接口勾选了与IPSEC VPN出口线路匹配

2、启用VPN
在网络->IPSEC VPN->DLAN状态中启用VPN
1.jpg

3、网络->IPSEC VPN->第三方对接配置中新增第三方设备,输入对端的公网IP或者域名,填写好对应的共享密钥,两端的共享密钥需要配置一致,在下面加密数据流中新增添加第二阶段的配置
2.jpg


4、输入本端网段和对端网段,阶段二安全提议中需要两边的协议保持一致(默认添加了一些协议和算法,可以把默认的删除了也可以使用默认有的)
注意事项:IPSEC VPN隧道没建立前最好使用单网段进行配置,后期IPSEC VPN隧道建立起来后再添加,如果一次就添加多个网段会导致第二阶段报错难以查找问题
3.png

5、IKE版本选择IKEv2,配置好两端的身份验证信息,IKE SA超时时间,D-H群,DPD、段一安全提议等参数,要两端的配置一致
4.png

6、IPSEC配置可以使用的2800,也可以自定义修改,修改需要两边一致
5.png

三、openswan 安装
演示使用的系统是centos
1、输入下面命令安装 openswan
yum install -y make gcc gmp-devel xmlto bison flex xmlto libpcap-devel lsof vim-enhanced man nss openswan

2、通过 ipsec verify 查看状态,会出现如下报错可通过下面配置开启数据转发、关闭ICMP重定向、修改proc解决
21.jpg

①开启数据转发
输入  vim /etc/sysctl.conf
把 net.ipv4.ip_forward = 0  改成 net.ipv4.ip_forward = 1
把 net.ipv4.conf.default.rp_filter = 1  改成 net.ipv4.conf.default.rp_filter = 0
22.jpg

②关闭icmp重定向和写入内存
sysctl -a | egrep "ipv4.*(accept|send)_redirects" | awk -F "=" '{print$1"= 0"}' >> /etc/sysctl.conf
sysctl -p 写入内存
23.png

③修改proc,直接复制粘贴过去
echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 0 >  /proc/sys/net/ipv4/conf/default/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/ip_vti0/rp_filter
24.png

④重启ipsec服务查看状态
ipsec restart      #重启IPSEC 服务
ipsec verify       #查看IPSEC 状态
25.png

3、防火墙放通
①查看防火墙状态,如果防火墙开启需要进行放通,如果防火墙状态是关闭的可以忽略   
systemctl status firewalld    #查看防火墙状态,显示绿色的(running)说明防火墙是开启的,显示(dead)说明防火墙是关闭的
systemctl stop firewalld      #关闭防火墙
systemctl start firewalld      #开启防火墙
systemctl reload firewalld   #重启防火墙
26.png

②在防火墙放通UDP:500,4500这两个端口
firewall-cmd --zone=public --add-port=500/udp --permanent     #永久放通UDP500号端口
firewall-cmd --zone=public --add-port=4500/udp --permanent   #永久放通UDP4500号端口
systemctl reload firewalld       #重启防火墙
27.png

③查看端口放通情况,两条指令都可以查看已开放的端口
  firewall-cmd --list-ports
28.png

  iptables -nL
29.png


四、IPSEC 配置
1、修改ipsec 配置文件  vim /etc/ipsec.cof
①先把config setup、plutodebug=none、virtual_private、include的前面加个#注释掉或者删除掉(如下图)
31.png

②在include /etc/ipsec.d/*.conf  前面粘贴下面的配置,需要注意配置前面是有空格的
version 2
config setup
        protostack=netkey
        plutostderrlog=/var/log/pluto.log
        virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12

conn centos-sangfor
        ikev2=insist
        ike=3des-md5;dh2
        esp=3des-md5;dh2
        authby=secret
        ikelifetime=3600
        keylife=28800
        pfs=yes
        auto=start

        leftid=@centos
        left=172.21.0.10
        leftsubnet=172.21.0.10/32
        leftnexthop=%defaultroute

        rightid=@sangfor
        right=180.141.76.211
        rightsubnet=172.16.16.0/24
        rightnexthop=%defaultroute

32.png

说明注释:
version 2      #使用版本2
config setup      #配置设置
        protostack=netkey  #使用2.6内核内建模块netkey,2.6以下是KLIPS模块
        plutostderrlog=/var/log/pluto.log  #日志记录,也可以通过查看日志/var/log/messages以及/var/log/secure来查看连接启动的具体情况
        virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12  #加密网段传输
conn centos-sangfor   #自定义名称,conn是固定参数,centos-sangfor可以自行修改
       ikev2=insist          #使用IKEV2版本,如果使用IKEV1可以忽略
        ike=3des-md5;dh2    #IKE参数,对应的第一阶段安全提议
        esp=3des-md5;dh2    #第二阶段的安全提议
        authby=secret        #使用预共享密钥
        ikelifetime=3600      #IKE SA超时时间
        keylife=28800         #IPSEC SA超时时间
        pfs=yes           #是否使用密钥完美向前保密pfs(yes或者no)
        leftid=@centos       #本端身份ID
        left=172.21.0.10  #本端接口IP,NAT环境写内网接口IP,公网直接在网卡中写公网IP
        leftsubnet=172.21.0.10/32   #本端网段
        leftnexthop=%defaultroute
        rightid=@sangfor    #对端身份ID
        right=180.141.76.211   #对端公网IP
        rightsubnet=172.16.16.0/24  #对端网段
        rightnexthop=%defaultroute

2、配置连接地址和预共享密钥 ,修改 vim /etc/ipsec.secrets
添加     @centos  @sangfor  : PSK “sangfor123
#@centos是源(本端)   @sangfor是目的(对端)   “sangfor123”是预共享密钥
这里不能写IP地址,写IP地址会导致无法协商成功,所以需要用前面配置的 leftid和  rightid
33.png

3、重启IPSEC 服务  
ipsec stop start     #关闭IPSEC 服务再打开,如果出现跟进对应的说明进行修改,后面故障排查有详细说明
ipsec verify         #查看IPSEC状态
ipsec auto --up centos-sangfor  #查看IPSEC 连接状态
34.png

4、状态检查
通过ping对端能通,说明配置成功隧道建立成功
34.jpg

35.png

五、排障分析
1、到AF系统->系统故障日志->日志选项设置,勾选所有的日志选项,只看DLAN总部的日志
根据日志报错排障
这个一般是双方无法收到对端的信息,检查500,4500端口是否正常,两边IKE阶段是否配置正确
40.jpg

2、如下报错是两边的IKEv2中的认证算法两端不一致会有对应的报错提示,通过修改一端的配置解决
41.png

3、如下报错需要检查双方的共享密钥是否一致,linux端是否写了IP地址,不能写IP地址只能写@的id
42.png

4、端口测试,使用  yum install nc -y   安装nc
nc -vuz 180.141.76.211 500   #测试目标 180.141.76.211的UDP500是否能通
43.png

5、公有云上的服务器还需要查看公有云的安全规则是否放通,需要出入站都放通
44.png

打赏鼓励作者,期待更多好文!

打赏
6人已打赏

沧海 发表于 2020-4-26 17:48
  
感谢楼主分享
maoxs 发表于 2020-4-27 06:33
  
非常详细,备用
sxfusr 发表于 2020-4-27 13:34
  
打赏学习
sailyang 发表于 2020-4-29 09:42
  
感谢楼主分享,非常详细,备用
TCN 发表于 2020-4-29 15:09
  
向大佬学习
狗蛋 发表于 2020-4-29 21:38
  
原创分享很详细啊,图文并茂
D调的土豆 发表于 2020-5-6 10:17
  
感谢楼主分享,长贴非常详细,备用
暖暖的毛毛 发表于 2020-5-15 10:13
  

感谢楼主分享,值得学习。
暖暖的毛毛 发表于 2020-6-19 09:03
  
感谢分享
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
每周精选
技术笔记
干货满满
技术咨询
新版本体验
信服课堂视频
标准化排查
产品连连看
安装部署配置
功能体验
自助服务平台操作指引
秒懂零信任
GIF动图学习
2023技术争霸赛专题
通用技术
技术晨报
社区帮助指南
安全攻防
每日一记
玩转零信任
天逸直播
华北区交付直播
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

396
135
63

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人