strongSwan穿越NAT与公网VSR对接IPsec配置案例

正文共：555 字 7 图，预估阅读时间：1 分钟

通过上次的案例（配置strongSwan和H3C VSR的IPsec对接案例），我们已经掌握了strongSwan和VSR基于IKEv1主模式进行对接的配置方法。有同学提出，实际使用中穿越NAT在所难免，其实这种也好解决，按照前面配置H3C的思路，我们调整对应的配置为野蛮模式+FQDN应该就可以了。

本次我们先把VSR作为公网端，strongSwan经过NAT设备和VSR进行对接。

照例，我们先调整VSR的配置：

#
ike keychain swan
 pre-shared-key hostname swan key simple swan
#
ike proposal 20
 encryption-algorithm aes-cbc-128
 dh group2
 authentication-algorithm sha256
#
ike profile swan
 keychain swan
 exchange-mode aggressive
 local-identity address 49.7.205.89
 match remote identity fqdn swan
 proposal 20
#
acl advanced 3402
 rule 0 permit ip source 172.30.1.0 0.0.0.255 destination 172.27.3.0 0.0.0.255
#
ipsec transform-set swan
 esp encryption-algorithm aes-cbc-128
 esp authentication-algorithm sha256
#
ipsec policy swan 10 isakmp
 transform-set swan
 security acl 3402
 local-address 172.30.3.19
 ike-profile swan
#
interface GigabitEthernet1/0
 ipsec apply policy swan

然后调整strongSwan的配置，主要是修改为IKEv1一阶段的交互模式为野蛮模式，并且修改身份验证为FQDN。

# cat /etc/strongswan/ipsec.conf
conn swan
  aggressive = yes
  authby = psk
  keyexchange=ikev1
  left= 192.168.222.131
  leftid=swan
  leftsubnet= 172.27.3.0/24
  right= 49.7.205.89
  rightid= 49.7.205.89
  rightsubnet= 172.30.1.0/24
  auto=route
  ike = aes128-sha256-modp1024
  esp = aes128-sha256
  ikelifetime=86400

配置预共享密钥到ipsec.secrets文件中。

# cat /etc/strongswan/ipsec.secrets
swan 49.7.205.89 : PSK swan

如果有进一步了解ipsec.conf和ipsec.secrets这两个配置的需求，可以参考（strongSwan之ipsec.conf配置手册）和（strongSwan之ipsec.secrets配置手册）。

配置完成之后重新启动strongSwan服务。

strongswan restart

然后从strongSwan下连的主机发起访问请求。

访问失败，IKE一阶段协商成功，二阶段协商失败。

从VSR上查看，也是一样的状态。

对比之前的实验配置，应该是要换成IPsec模板试一下，把IPsec兴趣流也去掉。

#
ipsec policy-template swant 1
 transform-set swan
 local-address 172.30.3.19
 ike-profile swan
#
ipsec policy swan 10 isakmp template swant

再次触发IPsec协商，隧道建立成功。

再次查看strongSwan状态，IKE第二阶段协商成功。

在VSR上查看IPsec SA信息。

不过有个地方我不太理解了，为啥开了ICMP超时报文发送功能和ICMP目的不可达报文发送功能之后，tracert路径还是会显示为*呢？

梳理一下配置。strongSwan配置如下：

# cat /etc/strongswan/ipsec.conf
conn swan
  aggressive = yes
  authby = psk
  keyexchange = ikev1
  left= 192.168.222.131
  leftid = swan
  leftsubnet = 172.27.3.0/24
  righ t= 49.7.205.89
  rightid = 49.7.205.89
  rightsubnet = 172.30.1.0/24
  auto = route
  ike = aes128-sha256-modp1024
  esp = aes128-sha256
  ikelifetime = 86400

# cat /etc/strongswan/ipsec.secrets
swan 49.7.205.89 : PSK swan

VSR配置如下：

#
interface GigabitEthernet1/0
 ip address 172.30.3.19 255.255.255.0
 ipsec apply policy swan
#
ipsec transform-set swan
 esp encryption-algorithm aes-cbc-128
 esp authentication-algorithm sha256
#
ipsec policy-template swant 1
 transform-set swan
 local-address 172.30.3.19
 ike-profile swan
#
ipsec policy swan 10 isakmp template swant
#
ike profile swan
 keychain swan
 exchange-mode aggressive
 local-identity address 49.7.205.89
 match remote identity fqdn swan
 proposal 20
#
ike proposal 20
 encryption-algorithm aes-cbc-128
 dh group2
 authentication-algorithm sha256
#
ike keychain swan
 pre-shared-key hostname swan key simple swan

长按二维码
关注我们吧

配置strongSwan和H3C VSR的IPsec对接案例

查看strongSwan配置IPsec的报文交互过程，捎带测一下转发性能

对比华三设备配置，讲解Linux主机如何配置strongSwan

ZTP自动化方式部署网络设备（篇三）

1分钟时间快速学习一下使用ISO镜像部署EVE-NG

分享一些关于防火墙的基础知识，你了解了吗？

常用VPN性能对比测试(IPsec、L2TP VPN、SSL VPN、L2TP over IPsec等)

一篇能解决90%以上SSL VPN问题的武林秘籍