个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
29
4
我尝试了几天在 2 个站点之间创建 VPN 隧道,但没有成功。
我有以下场景:
我设法为每个网关正确添加了状态和策略(我认为)。
对于 GWA,我使用了以下命令:
# policies in, out, fwd
ip xfrm policy add src 192.168.1.0/24 dst 192.168.2.0/24 dir out tmpl src a.b.c.d dst e.f.g.h proto esp reqid 0x99 mode tunnel
ip xfrm policy add src 192.168.2.0/24 dst 192.168.1.0/24 dir in tmpl src e.f.g.h dst a.b.c.d proto esp reqid 0x99 mode tunnel
ip xfrm policy add src 192.168.2.0/24 dst 192.168.1.0/24 dir fwd tmpl src e.f.g.h dst a.b.c.d proto esp reqid 0x99 mode tunnel<br>
# states
ip xfrm state add src a.b.c.d dst e.f.g.h proto esp spi 0x81 reqid 0x99 mode tunnel auth "hmac(sha256)" 0x01 enc "rfc3686(ctr(aes))" 0x02
ip xfrm state add src e.f.g.h dst a.b.c.d proto esp spi 0x82 reqid 0x99 mode tunnel auth "hmac(sha256)" 0x03 enc "rfc3686(ctr(aes))" 0x04
对于 GWB,我使用了以下命令:
# policies in, out, fwd
ip xfrm policy add src 192.168.2.0/24 dst 192.168.1.0/24 dir out tmpl src e.f.g.h dst a.b.c.d proto esp reqid 0x99 mode tunnel
ip xfrm policy add src 192.168.1.0/24 dst 192.168.2.0/24 dir in tmpl src a.b.c.d dst e.f.g.h proto esp reqid 0x99 mode tunnel
ip xfrm policy add src 192.168.1.0/24 dst 192.168.2.0/24 dir fwd tmpl src a.b.c.d dst e.f.g.h proto esp reqid 0x99 mode tunnel<br>
# states
ip xfrm state add src a.b.c.d dst e.f.g.h proto esp spi 0x81 reqid 0x99 mode tunnel auth "hmac(sha256)" 0x01 enc "rfc3686(ctr(aes))" 0x02
ip xfrm state add src e.f.g.h dst a.b.c.d proto esp spi 0x82 reqid 0x99 mode tunnel auth "hmac(sha256)" 0x03 enc "rfc3686(ctr(aes))" 0x04
站点 A 的每个主机都知道通过 GWA 路由发往站点 B 的数据包。
站点 B 的每个主机都知道通过 GWB 路由发往站点 A 的数据包。
从站点 A 中的主机发送到站点 B 中的主机的数据包到达 GWA 并被加密(作为 ESP 数据包)。 ESP 数据包到达 GWB 并成功解密,但被丢弃。
我需要虚拟/隧道接口(interface)吗? (vti, tun, tap)
我需要在 iptables 中添加条目吗?我的 xfrm 命令正确吗?
最佳答案
我发现了问题。我的方法是正确的,但由于内核错误(在许多 5.2.x 版本和一些 4.x 版本中),ip xfrm 工具无法正常工作。
解决方法是使用 strongswan/swanctl 和他们自己的 IPSec 实现。有关更多信息,请参见:kernel-libsec plugin .您将需要自己构建和编译它。
关于vpn - 如何使用 xfrm 设置 Site-to-Site VPN 隧道,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57962076/
29
4
0
在我的项目中,需要以编程方式对数据包实现IPsec。目前,我的系统利用 netfilter 队列捕获数据包,并准备好对数据包进行破坏。从现在开始,我对如何对这些数据包实现 IPsec 一无所知。 在我
我正在从事一个 C++ 项目,其中需要使用 ESP 建立 IPsec SA 并快速更改加密 key 。我的问题如下: 有没有办法在不删除相应的 SA 并创建新的 SA 的情况下更新加密 IPsec k
关闭。 这个问题不符合 Stack Overflow guidelines 。它目前不接受答案。 这个问题似乎与 a specific programming problem, a software
对于IPSEC抗重放检测,如果序号小于窗口中的最低序号,是丢弃数据包还是接受数据包? 我假设它应该被丢弃,但对于 ESN 数据包,数据包似乎被接受了。在 linux 内核的 xfrm 实现中,如果 s
我尝试了几天在 2 个站点之间创建 VPN 隧道,但没有成功。 场景 我有以下场景: 站点 A 的 IP 地址为 192.168.1.0/24,网关 GWA 的地址为 192.168.1.254 和
我是一名优秀的程序员,十分优秀!