strongswan部署IPSec教程
时间: 2023-12-04 21:35:42 浏览: 63
前置条件:
- Ubuntu 16.04 LTS
- 两台虚拟机
步骤1:安装strongswan
在两台虚拟机上都执行以下命令安装strongswan:
```
sudo apt-get update
sudo apt-get install strongswan
```
步骤2:配置IPSec
在虚拟机1上编辑/etc/ipsec.conf文件,添加以下内容:
```
conn vpn
left=192.168.1.1 # 虚拟机1的IP地址
leftsubnet=192.168.0.0/16 # 虚拟机1的子网
leftid=@vpnserver # 虚拟机1的标识
right=192.168.2.1 # 虚拟机2的IP地址
rightsubnet=192.168.0.0/16 # 虚拟机2的子网
rightid=@vpnclient # 虚拟机2的标识
auto=start
```
在虚拟机2上编辑/etc/ipsec.conf文件,添加以下内容:
```
conn vpn
left=192.168.2.1 # 虚拟机2的IP地址
leftsubnet=192.168.0.0/16 # 虚拟机2的子网
leftid=@vpnclient # 虚拟机2的标识
right=192.168.1.1 # 虚拟机1的IP地址
rightsubnet=192.168.0.0/16 # 虚拟机1的子网
rightid=@vpnserver # 虚拟机1的标识
auto=start
```
步骤3:配置证书
在虚拟机1上执行以下命令生成证书:
```
sudo ipsec pki --gen --type rsa --size 4096 --outform pem > vpnserver.key.pem
sudo ipsec pki --self --ca --lifetime 3650 --in vpnserver.key.pem --type rsa --dn "CN=VPN Server" --outform pem > vpnserver.cert.pem
sudo ipsec pki --gen --type rsa --size 4096 --outform pem > vpnclient.key.pem
sudo ipsec pki --pub --in vpnclient.key.pem --type rsa | sudo tee vpnclient.pub.pem
```
在虚拟机2上执行以下命令生成证书:
```
sudo ipsec pki --gen --type rsa --size 4096 --outform pem > vpnclient.key.pem
sudo ipsec pki --self --ca --lifetime 3650 --in vpnclient.key.pem --type rsa --dn "CN=VPN Client" --outform pem > vpnclient.cert.pem
sudo ipsec pki --gen --type rsa --size 4096 --outform pem > vpnserver.key.pem
sudo ipsec pki --pub --in vpnserver.key.pem --type rsa | sudo tee vpnserver.pub.pem
```
将虚拟机1生成的证书文件vpnserver.cert.pem和vpnserver.key.pem复制到虚拟机2上,将虚拟机2生成的证书文件vpnclient.cert.pem和vpnclient.key.pem复制到虚拟机1上。
步骤4:配置IPSec密钥
在虚拟机1上执行以下命令生成IPSec密钥:
```
sudo ipsec pki --issue --lifetime 3650 --cacert vpnclient.cert.pem --cakey vpnclient.key.pem --in vpnserver.pub.pem --dn "CN=VPN Server" --san vpnserver --flag serverAuth --outform pem > vpnserver.cert.pem
```
在虚拟机2上执行以下命令生成IPSec密钥:
```
sudo ipsec pki --issue --lifetime 3650 --cacert vpnserver.cert.pem --cakey vpnserver.key.pem --in vpnclient.pub.pem --dn "CN=VPN Client" --san vpnclient --flag serverAuth --outform pem > vpnclient.cert.pem
```
将虚拟机1生成的IPSec密钥文件vpnserver.cert.pem和vpnclient.cert.pem复制到虚拟机2上,将虚拟机2生成的IPSec密钥文件vpnclient.cert.pem和vpnserver.cert.pem复制到虚拟机1上。
步骤5:重启strongswan
在虚拟机1和虚拟机2上都执行以下命令重启strongswan:
```
sudo systemctl restart strongswan
```
步骤6:测试IPSec
在虚拟机1上执行以下命令测试IPSec:
```
ping 192.168.2.1
```
在虚拟机2上执行以下命令测试IPSec:
```
ping 192.168.1.1
```
如果ping通,说明IPSec部署成功。
相关推荐
![](https://img-home.csdnimg.cn/images/20210720083646.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)