本文档的Copyleft归rosetta所有,使用GPL发布,可以自由拷贝、转载,转载时请保持文档的完整性。
原文地址:http://blog.csdn.net/rosetta
Openswan是Linux下IPsec的最佳实现方式,我之前使用的版本是openswan-2.4.7,它最大的缺点是不支持IPV6,现在国家大力扶持IPV6项目,下一代互联网IPV6全面普及已近在咫尺。有关操作系统、内核、应用层软件对于IPV6的支持配置问题将会更加受到关注。
本文将介绍如何在Linux下从源码安装openswa-2.6.38,并配置建立IPV6静态隧道,最后测试受隧道保护的子网之间通信。
1,实验环境
1).VMware CentOS 5.4虚拟机一台, 使用虚拟机有一个好处:当你配置完一边后,通过VMware的clone工具克隆一个镜像作为隧道的另一端,这样就不需要在隧道另一端做重劳动,所以你只需安装配置一遍。
需要注意的是CentOS 5.4内核版本比较老,为2.6.18-164,我试了在该内核下无法插入openswan的ipsec.ko模块,一insmod 内核就崩溃,具体原因没有去查,看openswan的READE,应该需要打内核补丁,我先不管它了,使用上回编译的2.6.34.11内核。
2).windows主机只要支持IPV6地址配置即可,我使用的是win7, xp是无法满足的。
3).软件环境当然使用的就是今天的主角openswa-2.6.38了,这个版本应该是目前最新的,可以从其官方下载ftp://ftp.openswan.fi/pub/openswan/
4).VMware网络接口类型:bridged
5).地址配置。
windows主机,在本地链接中增加即可:99:1::165/64
Linux:
eth0:99:1::162/64
77::1/64(保护子网通信时使用)
ip -f inet6 addr add 99:1::162/64 dev eth0
ip -f inet6 addr add 77::1/64 dev eth0
对端Linux:此设备要等会把这边安装完毕并配置好IPV6隧道后再clone再出来,所以此时还有这台设备,但为了方便起见把这台机器的IP地址先确定是可以的。
eth0:99:1::228/64
88::1/64(保护子网通信时使用)
2,编译安装openswan-2.6.38
在编译之前请确保完成以下步骤:
1,以内核2.6.34.11为例:
cd /lib/modules/2.6.34.11-xxx/ (xxx可以是你编译内核时自命名的)
ln -sf build /opt/study_new/kernel/linux-2.6.34.11 (做指向内核源的符号链接)
ln -sf source /opt/study_new/kernel/linux-2.6.34.11
2,执行 rmmod xfrmuser af_key esp4 ah4 ipcomp xfrm4_tunnel
删除内核的netkey支持
现在可以开始编译openswan-2.6.38源码了
解压tar -zxvf openswan-2.6.38.tar.gz后,cd openswan-2.6.38/
执行:make programs;make install
会把应用程序pluto,whack,tncfg等拷贝至/usr/local/libexec/ipsec/
执行:make module;
会在./modobj26/目录生成ipsec.ko
执行:make minstall
会把ipsec.ko拷贝至/lib/modules/2.6.34.11-topsec/kernel/net/ipsec/ipsec.ko
最后执行:service ipsec restart 使用最近的ipsec.ko
安装成功的标志,通过以下命令检查:
[root@localhost ~]# ipsec version
Linux Openswan 2.6.38 (klips)
See `ipsec --copyright' for copyright information.
[root@localhost ~]# ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan 2.6.38 (klips)
Checking for IPsec support in kernel [OK]
KLIPS: checking for NAT Traversal support [OK]
KLIPS: checking for OCF crypto offload support [N/A]
SAref kernel support [N/A]
Checking that pluto is running [OK]
Pluto listening for IKE on udp 500 [OK]
Pluto listening for NAT-T on udp 4500 [OK]
Checking for 'ip' command [OK]
Checking /bin/sh is not /bin/dash [OK]
Checking for 'iptables' command [OK]
Opportunistic Encryption Support [DISABLED]
[root@localhost ~]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:0C:29:9B:26:37
inet addr:10.10.10.162 Bcast:10.10.10.255 Mask:255.255.255.0
inet6 addr: 77::1/64 Scope:Global
inet6 addr: 99:1::162/64 Scope:Global
ipsec0 Link encap:Ethernet HWaddr 00:0C:29:9B:26:37
inet addr:10.10.10.162 Mask:255.255.255.255
inet6 addr: 77::1/128 Scope:Global
inet6 addr: 99:1::162/128 Scope:Global
3,配置IPV6隧道
1),配置密钥策略文件
vim /etc/ipsec.secrets
只保留如下内容:
99:1::162 99:1::228 : PSK "123456"
2),配置隧道参数
vim ipv6tun.sh
内容如下:
WHACK=/usr/local/libexec/ipsec/whack
$WHACK --name v6tun --ipv6 \
--host 99:1::162 --client 77::/64 \
--to \
--host 99:1::228 --client 88::/64 \
--ike aes-md5 \
--psk --encrypt --tunnel --esp 3des-md5 \
$WHACK --listen
此时一边的环境已配置完毕
可以通过whack命令查看当前隧道状态,如果看到类似以下执行结果,表明成功:
[root@localhost dotunnel]# cd /usr/local/libexec/ipsec/
[root@localhost ipsec]# ./whack --sta
000 using kernel interface: klips
000 interface ipsec0/eth0 77::1
000 interface ipsec0/eth0 99:1::162
000 interface ipsec0/eth0 10.10.10.162
****中间省略一堆信息*****
"aaa": 77::/64===99:1::162[+S?C]...99:1::228[+S?C]===88::/64; unrouted; eroute owner: #0
000 "aaa": myip=unset; hisip=unset;
000 "aaa": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "aaa": policy: PSK+ENCRYPT+TUNNEL; prio: 64,64; interface: eth0;
000 "aaa": dpd: action:clear; delay:0; timeout:0;
000 "aaa": newest ISAKMP SA: #0; newest IPsec SA: #0;
000 "aaa": IKE algorithms wanted: AES_CBC(7)_000-MD5(1)_000-MODP1536(5), AES_CBC(7)_000-MD5(1)_000-MODP1024(2); flags=-strict
000 "aaa": IKE algorithms found: AES_CBC(7)_128-MD5(1)_128-MODP1536(5), AES_CBC(7)_128-MD5(1)_128-MODP1024(2)
000 "aaa": ESP algorithms wanted: 3DES(3)_000-MD5(1)_000; flags=-strict
000 "aaa": ESP algorithms loaded: 3DES(3)_192-MD5(1)_128
4,克隆一个镜像
系统此时的状态是最好不过的,只要克隆一个一样的镜像,我们只需改下IP地址,重启一下ipsec服务即可。
具体操作:
1),配置IP地址,如果使用ip -f inet6命令配置,当系统重启后IP地址就消失了,所以来这个一劳永逸的办法。
vim /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
BOOTPROTO=static
ONBOOT=yes
HWADDR=#执行ifconfig eth0后把HWaddr的值帖过来
IPADDR=10.10.10.228
GATEWAY=10.10.10.1
NETMASK=255.255.255.0
BROADCAST=10.10.10.255
IPV6INIT=yes
IPV6ADDR=99:1::228/64
service network restart 生效
2),配置密钥策略文件,只要把之前的两个IP地址倒个就行
vim /etc/ipsec.secrets
99:1::228 99:1::162 : PSK "123456"
3),配置隧道参数,同样两端IP和保护子网地址倒个。
vim ipv6tun.sh
内容如下:
WHACK=/usr/local/libexec/ipsec/whack
$WHACK --name v6tun --ipv6 \
--host 99:1::228 --client 88::/64 \
--to \
--host 99:1::162 --client 77::/64 \
--ike aes-md5 \
--psk --encrypt --tunnel --esp 3des-md5 \
$WHACK --listen
可能通过第3步的方法查看命令是否执行成功。
可以先测试一下两台主机是否可以ping通:
[root@localhost openswan-2.6.38]# ping6 99:1::228
PING 99:1::228(99:1::228) 56 data bytes
64 bytes from 99:1::228: icmp_seq=0 ttl=64 time=4.94 ms
64 bytes from 99:1::228: icmp_seq=1 ttl=64 time=19.5 ms
5,协商并通信
发现openswan-2.6-38协商速度超级慢,不知道什么原因?但最终可以协商成功。
[root@localhost dotunnel]# cd /usr/local/libexec/ipsec/
[root@localhost ipsec]# ./whack --initiate --name v6tun
[root@localhost ipsec]# ./eroute
0 77::/64 -> 88::/64 => tun0x1003@99:1::228
说明隧道协商成功,其两端保护子网为77::/64和88::/64
测试一下通信,成功。
[root@localhost ipsec]# ping6 88::1 -I 77::1
PING 88::1(88::1) from 77::1 : 56 data bytes
64 bytes from 88::1: icmp_seq=0 ttl=64 time=0.385 ms
64 bytes from 88::1: icmp_seq=1 ttl=64 time=0.371 ms
总结:每次做开发和学习之前的环境搭建是最费时费力的,但所谓工欲善其事,必先利其器,把环境搭建好了,再去看代码时就会如鱼得水,代码看不懂加几个printf看看执行结果就容易弄懂了。