51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

安装Strongswan:Linux上一个基于IPsec的VPN工具

作者:nido
系统 Linux 系统运维
IPsec是一个提供网络层安全的标准。它包含认证头(AH)和安全负载封装(ESP)组件。Strongswan是一个IPsec协议的开源代码实现,Strongswan的意思是强安全广域网(StrongS/WAN)。它支持IPsec的VPN中的两个版本的密钥自动交换(网络密钥交换(IKE)V1和V2)。

IPsec是一个提供网络层安全的标准。它包含认证头(AH)和安全负载封装(ESP)组件。AH提供包的完整性,ESP组件提供包的保密性。IPsec确保了在网络层的安全特性。

  • 保密性
  • 数据包完整性
  • 来源不可抵赖性
  • 重放攻击防护

Strongswan是一个IPsec协议的开源代码实现,Strongswan的意思是强安全广域网(StrongS/WAN)。它支持IPsec的VPN中的两个版本的密钥自动交换(网络密钥交换(IKE)V1和V2)。

[[147640]]

Strongswan基本上提供了在VPN的两个节点/网关之间自动交换密钥的共享,然后它使用了Linux内核的IPsec(AH和ESP)实现。密钥共享使用了之后用于ESP数据加密的IKE机制。在IKE阶段,strongswan使用OpenSSL的加密算法(AES,SHA等等)和其他加密类库。无论如何,IPsec中的ESP组件使用 的安全算法是由Linux内核实现的。Strongswan的主要特性如下:

  • x.509证书或基于预共享密钥认证
  • 支持IKEv1和IKEv2密钥交换协议
  • 可选的,对于插件和库的内置完整性和加密测试
  • 支持椭圆曲线DH群和ECDSA证书
  • 在智能卡上存储RSA私钥和证书

它能被使用在客户端/服务器(road warrior模式)和网关到网关的情景。

如何安装

几乎所有的Linux发行版都支持Strongswan的二进制包。在这个教程,我们会从二进制包安装strongswan,也会从源代码编译带有合适的特性的strongswan。

使用二进制包

可以使用以下命令安装Strongswan到Ubuntu 14.04 LTS

  1. $ sudo aptitude install strongswan

安装strongswan

strongswan的全局配置(strongswan.conf)文件和ipsec配置(ipsec.conf/ipsec.secrets)文件都在/etc/目录下。

strongswan源码编译安装的依赖包

  • GMP(strongswan使用的高精度数学库)
  • OpenSSL(加密算法来自这个库)
  • PKCS(1,7,8,11,12)(证书编码和智能卡集成)

步骤

1) 在终端使用下面命令到/usr/src/目录

  1. $ cd /usr/src

2) 用下面命令从strongswan网站下载源代码

  1. $ sudo wget http://download.strongswan.org/strongswan-5.2.1.tar.gz

(strongswan-5.2.1.tar.gz 是当前最新版。)

下载软件

3) 用下面命令提取下载的软件,然后进入目录。

  1. $ sudo tar xvzf strongswan-5.2.1.tar.gz; cd strongswan-5.2.1

#p#

4) 使用configure命令配置strongswan每个想要的选项。

  1. $ ./configure --prefix=/usr/local -–enable-pkcs11 -–enable-openssl

检查strongswan包

如果GMP库没有安装,配置脚本将会发生下面的错误。

GMP library error

因此,首先,使用下面命令安装GMP库然后执行配置脚本。

gmp installation

不过,如果GMP已经安装还报上述错误的话,在Ubuntu上使用如下命令,给在路径 /usr/lib,/lib/,/usr/lib/x86_64-linux-gnu/ 下的libgmp.so库创建软连接。

  1. $ sudo ln -s /usr/lib/x86_64-linux-gnu/libgmp.so.10.1.3 /usr/lib/x86_64-linux-gnu/libgmp.so

softlink of libgmp.so library

创建libgmp.so软连接后,再执行./configure脚本也许就找到gmp库了。然而,如果gmp头文件发生其他错误,像下面这样。

GMP header file issu

为解决上面的错误,使用下面命令安装libgmp-dev包

  1. $ sudo aptitude install libgmp-dev

Installation of Development library of GMP

安装gmp的开发库后,在运行一遍配置脚本,如果没有发生错误,则将看见下面的这些输出。

Output of Configure scirpt

使用下面的命令编译安装strongswan。

  1. $ sudo make ; sudo make install

安装strongswan后,全局配置(strongswan.conf)和ipsec策略/密码配置文件(ipsec.conf/ipsec.secretes)被放在/usr/local/etc目录。

根据我们的安全需要Strongswan可以用作隧道或者传输模式。它提供众所周知的site-2-site模式和road warrior模式的VPN。它很容易使用在Cisco,Juniper设备上。

责任编辑:火凤凰 来源: Linux中国
StrongswanLinux工具
相关推荐
基于PSKIPsec VPN配置
我们知道IPsec是比较常用的VPN技术,它的协议也相对比较多,应用也很广泛。所以,对于网络管理员来说,掌握IPsecVPN的配置也是必要的。

2011-11-25 11:23:29

IPsec VPNIPsec VPN配置
IPsec VPN基础:认识IPsec VPN
VPN的用途大家应该有所了解,那么在这之中,应用非常广泛的IPsecVPN也非常重要。那么对于IPsecVPN你是否了解呢?下面我们就简单介绍一下IPsecVPN。

2011-11-25 13:49:17

IPsec VPN配置:IPsec VPN高可用性
对于IPsecVPN的基本配置我们已经有一个大概的了解了,那么这篇文章我们主要讨论IPsecVPN的高可用性及其相关配置。

2011-11-25 13:24:56

pyDash:一个基于webLinux性能监测工具
pyDash是一个轻量且基于web的Linux性能监测工具,它是用Python和Django加上Chart.js来写的。经测试,在下面这些主流Linux发行版上可运行:CentOS、Fedora、Ubuntu、Debian、Raspbian以及Pidora。在这篇文章中,我将展示如何安装pyDash来监测Linux服务器性能。

2017-05-03 13:37:05

Linuxweb性能监测
IPsec VPN基础:IPsec VPN相关概念与协议
本篇文章主要讲解了IPsecVPN的一些基础概念和有关的协议,希望对网管员们能够有所帮助。

2011-11-25 13:34:56

IPsec VPNIPsec VPN协议
IPsec VPN配置
如今,IPsecVPN的配置问题,被越来越多的人关注。

2011-11-29 16:08:30

IPsec VPN
基于uCLinux嵌入式无线IPSec VPN网关
随着网络和无线通信技术的发展以及无线数据传输能力的提高,无线数据传输的应用领域不断扩展,如图1所示,用户的移动设备可以通过CDMAGPRS公众无线网络直接访问Internet。

2011-11-30 14:51:55

Ipsec VPN网络拓扑
IPsec是专门用来解决IPv4的一些基础安全性问题的。在本篇文章中,您将学习到IpsecVPN的网络拓扑。

2010-12-15 11:24:35

IPSec VPN详细介绍
IPSec(IPSECURITY)是为实现VPN功能而最普遍使用的协议。通过相应的隧道技术,可实现VPN。IPSec有两种模式:隧道模式和传输模式。

2011-11-29 12:13:21

VPN
VPN实战2:构建IPSec VPN
实现IPSec要求主机安装上ipsectoolsRPM软件包,RedHatEnterpriseLinux5一般默认安装。执行下述命令可以看到它的版本号为ipsectools0.6.513.el53.1。

2012-09-28 09:44:32

IPSec VPN 与SSL VPN简介
VPN(VirtualPrivateNetwork)虚拟专用网,指在公共网络(如Internet)上构建临时的、安全的逻辑网络的技术。机构遍布各地的公司,尤其跨越国家的公司,可以通过VPN接入总部网络。

2012-09-26 09:49:44

IPSec VPN快速入门
什么是IPSecVPN?IPSecVPN即指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为InternetProtocolSecurity,是由InternetEngineeringTaskForce(IETF)定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。

2011-11-29 12:27:54

IPsec VPN和MPLS VPN之比较
建立在IP技术基础之上的VPN(虚拟专网)正快速成为新一代网络服务的基础,众多的服务供应商都纷纷推出了基于自身VPN传输网的各类增值服务,如下我们将IPsecVPN和MPLSVPN进行了一个比较。

2011-11-07 10:49:16

IPsec VPNMPLS VPN
简单介绍一个基于JSPOracle工具
看了本文大家就知道了,这个基于JSP的Oracle工具类似于查询分析器,登录后可以执行一些语句,方便使用。

2009-07-07 11:38:54

jsp oracle
IPSec VPN 配置基本步骤
IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。如果不深入探究IPSEC的过于详细的内容,我们对于IPSEC大致按照以下几个方面理解,下面我们给大家介绍一下有关IPSECVPN配置的基本步骤,希望对大家有所帮助。

2011-11-29 14:50:19

IPSecVPN
亚马逊给IT系上一个“活扣儿”
过去十年,亚马逊为股东展示了云服务AWS的规模、增长和利润。现在又到了是该揭秘的时刻。因为投资人需要看到亚马逊虚火的原因:光是去年公司就烧掉了90亿美元,那么这些钱都花到哪里去了,回报率低是困扰电商巨头最大的问题。唯一的利好便是云计算生逢其时,去年收益达到了50亿美元,年增长率高达50%

2015-04-21 09:07:09

亚马逊AWS云服务
IPSec VPN和SSL VPN:对比两种VPN安全风险
虚拟专用网络(VPN)已经成为了公司合作伙伴或员工远程安全访问公司资源的事实标准。在本文中,我们将试图解释两种特定的VPN类型,即IPSecVPN和SSLVPN,以及这两种类型应该如何选择。

2011-05-30 09:27:44

怎么基于Java编写一个CLI工具
总的来说,ApacheCommonsCLI是一个非常强大的工具,可以帮助你轻松地处理命令行参数。无论你的应用程序需要处理多少个参数,或者这些参数的类型是什么,CommonsCLI都可以提供帮助。

2023-12-11 08:16:51

工具命令行参数
信息化发展 从IPSec VPN到加速VPN
社会信息化的发展,让每一个人都已经深深的意识到:构建统一的信息平台,实现资源共享成为是每个机构追求发展进步不可或缺的一步,如下我们给大家介绍一些关于VPN的发展趋势。

2011-11-29 13:42:55

IPSEC VPN配置名词解释
IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。如果不深入探究IPSEC的过于详细的内容,我们对于IPSEC大致按照以下几个方面理解,下面我们给大家介绍一下有关IPSECVPN配置名词的解释。

2011-11-29 13:23:29

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服