25
2025
03
21:55:04

Ubuntu配置IPsec VPN

CentOS如何配置IPsec VPN对比华三设备配置,讲解Linux主机如何配置strongSwan,当时是通过strongSwan实现的,strongSwan是一个开源的IPsec VPN解决方案。安装完成后,通过调整配置文件/etc/ipsec.conf和/etc/ipsec.secrets就可以完成IPsec VPN的配置。这两个文件的配置指导已经过了,有需要的小伙伴可以参考strongSwan之ipsec.conf配置手册strongSwan之ipsec.secrets配置手册

首先,我们先在Ubuntu系统中安装StrongSwan软件,以支持IPsec协议栈和配置工具。


apt install -y strongswan

Ubuntu配置IPsec VPN

Ubuntu的配置与之前的CentOS配置存在一些小差异,主要是软件的安装路径和配置文件的存放路径不同,配置的应用方式不同,软件的配置方式基本保持一致。

在配置文件ipsec.conf中,给出了两个简单的配置实例,不过都是基于证书认证的。    

Ubuntu配置IPsec VPN

还是参考配置指导和我上次的配置案例,直接添加一个使用PSK预共享密钥的IPsec连接配置。


conn ubuntuipsec  
authby= psk  
keyexchange=ikev1  
left=10.45.1.4  
leftsubnet=10.4.1.0/24  
right=10.45.1.5  
rightsubnet=10.5.1.0/24  
keyingtries=%forever  
auto=start

Ubuntu配置IPsec VPN

简单理解一下这个连接配置:

authby用于配置两个安全网关应如何相互验证,psk即表示使用预共享密钥方式;

keyexchange用于配置使用哪个密钥交换协议来启动连接,默认值为IKEv2,配置为ikev1我们想使用IKEv2;

left表示为本端,right表示为对端;

leftsubnet和rightsubnet就是对应的私网网段,如果有多个,用逗号隔开就行了,如果要指定端口号,就写到方括号里面,在(strongSwan之ipsec.conf配置手册)中已经介绍过了;

keyingtries表示在放弃协商之前应该进行多少次尝试,默认值为3,配置为%forever表示“永不放弃”,此选项仅本地生效;

auto表示IPsec在启动时应自动执行什么操作,配置为start表示加载一个连接并立即启动它;也可以配置为route,表示加载连接并安装到内核,如果检测到本端子网和对端子网之间的流量,则建立连接;或者使用add,表示加载连接但不启动它。    

对应的,对端的IPsec连接配置如下:


conn ubuntuipsec  
authby= psk  
keyexchange=ikev1  
left=10.45.1.5  
leftsubnet=10.5.1.0/24  
right=10.45.1.4  
rightsubnet=10.4.1.0/24  
keyingtries=%forever  
auto=start

Ubuntu配置IPsec VPN

接下来,我们修改密钥文件/etc/ipsec.secrets,配置要使用PSK预共享密钥。


10.45.1.0/24 : PSK "ubuntu-ipsec"

Ubuntu配置IPsec VPN

文件中的每一行都是一个选择器列表,后面跟一个密钥,这两部分由一个英文冒号:分隔,冒号前后需要有空格。即冒号前面是对端IP或主机名,在IKEv1中,在通过预共享密钥进行身份验证的情况下,会产生额外的复杂性,响应者需要在对等体的ID有效载荷被解码之前查找该密钥,因此需要使用IP地址,如果未指定ID选择器,则该行必须以冒号开头,表示接受所有,等同于IPv4的%any,或者IPv6的%any6;冒号后面是密钥类型及加密凭证,PSK预共享密钥可以最方便地表示为一个字符序列,该序列由英文的双引号字符(")分隔,且不能包含换行符或双引号字符。

配置时,需要确保两端使用相同的密钥即可。

接下来,我们就可以启动IPsec连接服务了。


ipsec start

Ubuntu配置IPsec VPN

可以看到两台设备之间的SA连接状态为ESTABLISHED,表示已经协商成功;配置好路由之后,可以测试一下连通性。    

Ubuntu配置IPsec VPN

连通性正常,看一下SA的详细信息。

Ubuntu配置IPsec VPN

可以看到数据包统计情况,统计到了刚才的5个ping包。

最后,简单测试一下IPsec的性能。    

Ubuntu配置IPsec VPN

可以看到,在加密算法使用AES_CBC_128的情况下,最高带宽为179 Mbps,平均带宽为153 Mbps。    

Ubuntu配置IPsec VPN

虽然使用IPsec加密之后的性能看起来不高,但是对比一下未经过IPsec加密的带宽,平均也仅有228 Mbps,貌似损耗也不是很大。

观察打流时的CPU利用率,可以看到,只有一个CPU参与了加解密,还有提升的空间。

Ubuntu配置IPsec VPN




推荐本站淘宝优惠价购买喜欢的宝贝:

Ubuntu配置IPsec VPN

本文链接:https://hqyman.cn/post/9790.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: