一、簡介
IPsec是Internet工程任務組(IETE)制定的一個開放的網絡層安全框架協議。它並不是一個單獨的協議,而是一系列為IP網絡提供安全性的協議和服務的集合。IPsec主要包括安全協議AH(Authentication Header)和ESP(Encapsulating Security Payload),密鑰管理交換協議IKE(Internet Key Exchange)以及用於網絡認證及加密的一些算法等。
關鍵字詳解
1.IKE版本
IPsec IKE:Internet 秘鑰交換協議,是 IPsec 體系結構中的一種主要協議。它是一種混合協議,使用部分 Oakley 和部分 SKEME,並協同 ISAKMP 提供密鑰生成材料和其它安全連繫,比如用於 IPsec DOI 的 AH 和 ESP 。目前存在兩個版本,包含IKEv1和IKEv2兩個版本。主要區別在於協商過程、認證方法不同。
2.認證方式
認證方式分為預共享秘鑰以及自簽證書兩種,預共享秘鑰在配置上相對簡單,兼容性較好。自簽證書通過生成的秘鑰以及證書進行驗證,安全性更高。
二、如何使用
字段介紹
【狀態】:
通過啟動按鈕開啟或者關閉IPsec服務
【名稱】:
網絡中存在多個IPsec服務時,通過名稱區分服務。
【對方IP/域名】:
建立IPsec的對端服務地址。
【本地子網】:
IPsec本地子網網段。配置如192.168.1.0/24或者0.0.0.0/0。0.0.0.0/0表示為內網的所有網段
【對方子網】:
IPsec對端服務的內網子網網段。如有多個網段,可點擊添加更多子網按鈕添加。
【線路】:
選擇IPsec通訊的外網線路。
【IKE版本】:
IKE版本。IKEv1和IKEv2兩個版本。
【IKE協商模式】:
只存在於IKEv1版本中。分為主模式和積極模式兩種。
主模式為雙向認證,安全性較好。積極模式也稱為野蠻模式。僅單向認證,安全性比主模式較差,連接成功率高。
【IKE存活時間】:
通道重新協商的時間。
【IKE提議】:
分為加密算法、認證算法以及秘鑰交換算法。
【認證方式】:
分為預共享密鑰以及自簽證書。
【預共享秘鑰】:
配置簡單,兼容性好。
【自簽證書】:
通過生成的密鑰以及證書來進行驗證。安全性好。
【本地標識、對方標識】:
標識雙方身份,與證書中的common name 字段對應。本地標識和對方標識不能配置為相同且不能為空。
【本地私鑰】:
與本地證書成對出現,用於校驗。
【本地證書】:
與本地私鑰成對出現,用於校驗。
【對方證書】:
由對方提供,校驗作用。
【ESP存活時間】:
通道重新協商時間
【ESP加密算法】:
ipsec通道的安全策略
【ESP認證算法】:
ipsec通道的安全策略
【允許壓縮】:
壓縮節省帶寬,但是會佔用一定的CPU資源
使用方法
網絡拓撲及協商方式簡介如下圖所示
開啟服務並配置基本信息:開啟發起方的服務狀態,並配置基本網絡信息。
開啟響應方的服務狀態,並配置基本網絡信息
選擇相應的IKE版本以及認證方式,示例中選擇的IKE版本為IKEv1,認證方式為預共享秘鑰。其他的按照字段詳解中的介紹以及自己的需求配置即可。
發起方配置:
響應方配置:
注意事項
1、 兩端選擇的IKE版本需要一致。
2、 IPsecVPN與L2TP預共享密鑰衝突,不可同時啟用
3、 選擇IKEv1版本的時候,兩端的模式需要一致。
4、 IKEv1的版本時,IKE提議兩端的參數配置要一致,當自動協商時兩端必須都是自動協商。
5、 選擇IKEv1版本的時候,對方子網只能填寫一個。
6、 本地標識和對方標識不能配置成相同的。
7、 IKEv2版本時,IKE提議兩端參數配置要一致、當自動協商時僅一端配置自動協商,另一端配置具體參數也可以。
8、 若IPsecVPN不過NAT,兩端設備即可充當服務器,也可充當客戶端
9、 若IPsec過NAT,則需要注意以下幾點
a) 服務端的“對方IP/域名”必須為空,只能充當服務器,且服務端不允許過NAT。
b) 要先啟動服務端,再啟動客戶端。
三、知識拓展
AH與ESP:
1、Ipsec通過AH(Authentication header,驗證頭)和ESP(Encapsulating Security Payload,封裝安全載荷)兩個安全協議實現IP報文的封裝/解封裝。
AH是報文頭驗證協議,主要提供數據源驗證、數據完整性驗證和防報文重放功能,不提供加密功能。
ESp是封裝安全載荷協議,主要提供加密、數據源驗證、數據完整性驗證和防報文重放功能。
注:AH和ESP協議提供的安全功能依賴於協議採用的加密、驗證算法。
2、IPsec網關的加密和驗證算法所使用的密鑰可以手工配置,也可以動態協商。為了密鑰的安全性以及管理簡單,Ipsec協議框架中引入IKE協議實現安全聯盟動態協商和密鑰管理功能。
IKE協議建立在Internet安全聯盟和密鑰管理協議ISAKMP(internet security association and key management protocol)框架之上,採用DH(diffie-hellman)算法在不安全的網絡上安全的分發密鑰、驗證身份,以保證數據傳輸的安全性。
IKE現分為IKE V1以及IKE V2版本,愛快使用IKE V2版本,下面會著重講解下IKEV2Ipsec建立的過程。
IPsec建立過程:(重點講解下IKEV2協商過程)
IKEV2相比於IKEV1版本,簡化了消息交換的過程,IKE V1至少需要交換6條消息。IKEV2正常情況下使用2次交換共4條消息就可以完成一個IKE SA和一對Ipsec SA,如果要求建立 IPsec SA大於一對時,每一對SA只需額外增加1次交換,也就是2條消息就可以完成。
IKEV2定義了三種交換:初始交換、創建子SA交換以及通知交換
1、初始交換
IKE通信總是從IKE安全聯盟初始交換(ike_sa_init交換)和IKE認證交換(ike_auth交換)開始。這2個交換通常由4條消息組成,在某些場景下消息數目可能會增加。所有使用IKE的通信都由請求/響應組成。IKE安全聯盟初始交換和IKE認證交換完成後可以建立一個IKE SA和第一對child_sa(即Ipsec SA)
如上圖:使用兩個包來建立IKE sa,使用兩個包來建立IPsec SA。
2、創建子SA交換:
當一個IKE SA需要創建多對Ipsec SA時,需要使用創建子SA交換來協商多於一對的SA,另外創建子SA交換還可以用於進行IKE SA的重協商。
創建子SA交換包含一個交換兩個消息。在IKEv1中這個交換稱為階段2交換(快速模式交換)。這個交換必須在IKE初始交換完成之後才能進行,交換的發起者可以是IKE初始交換的發起者,也可以是IKE初始交換的響應者。在交換中的兩個消息需要由IKE初始交換協商的密鑰進行保護。
類似於IKEV1的PFS,創建子SA交換階段可以重新進行一次DH交換,生成新的密鑰材料。生成密鑰材料後,子SA的所有密鑰都從這個密鑰材料衍生出來。
3、通知交換:
運行IKE協商的兩端有時會傳遞一些控制信息,例如錯誤信息或者通告信息,這些信息在IKEV2中是通過通知交換完成的。
通知交換必須在IKE SA保護下進行,也就是說通知交換隻能發生在初始交換之後。
注意事項:
為了保證VPN的穩定,VPN客戶端設置的VPN條數建議在30條以內
四、IPsec VPN實施案例
1.愛快與Cisco IPsec實施案例
http://www.ikuai8.com/support_article.php?id=0000000593
2.愛快與Juniper IPsecc實施案例
https://www.ikuai8.com/support_article.php?id=0000000618
3.愛快與俠諾 IPsec實施案例
https://www.ikuai8.com/support_article.php?id=0000000594
4.愛快與多核防火牆IPsec實施案例
https://www.ikuai8.com/support_article.php?id=0000000741
五、IPsec VPN常見日誌解析
1.兩端設置不匹配產生的ipsec不通
日誌描述:
愛快IPsecVPN發送5次重傳包,對端路由未回應。
解決方法:
1.本端與對端的ipsec版本是否一致,必須同是IKE v1或IKEv2版本,參數必須設置一致。
2.確認對端IPsec是否正常運行。
2.IPsec名稱書寫中文導致連接異常
Feb 7 17:10:49 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
Feb 7 17:10:49 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
Feb 7 17:10:49 00[CFG] loading crls from '/etc/ipsec.d/crls'
Feb 7 17:10:49 00[CFG] loading secrets from '/etc/ipsec.secrets'
Feb 7 17:10:49 00[CFG] loading secrets from '/etc/ipsec.secrets.dpn-1'
Feb 7 17:10:49 00[CFG] loaded IKE secret for @總部VPN @LEGOVPN6
Feb 7 17:10:49 00[LIB] loaded plugins: charon aes des sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pgp dnskey pem fips-prf gmp xcbc hmac attr kernel-netlink resolve socket-default stroke updown xauth-generic
Feb 7 17:10:49 00[JOB] spawning 16 worker threads
Feb 7 17:10:49 04[CFG] received stroke: add connection 'ipsec_vpn_1'
日誌描述:
對端填寫了中文ipsec名稱導致異常
解決方法:
IPsec名稱使用字母或數字來命名。
3.對端路由使用了愛快不支持的協議導致鏈路異常
Pluto{2799}:wang0#152:we require PFS but Quick I1 SA specifies no GROUP_DESCRIPTION
日誌描述:
對端存在愛快不支持的協議PFS。
解決方法:
對端路由關閉PFS。
4.兩端參數不匹配導致連接異常
【CFG】received proposals:ESP:3DES—CBC/HMAC_MD5_96/MODP——1024/No——EXT——seq
【CFG】configured proposals :ESP:3DES_CBC/HMAC_MD5_96/no_EXT_SEQ,
ESP:AES_CBC-128/AES_CBC_192/AES_CBC_256/3DES_CBC/BLOWWFISH_CBC_256/HMAC_SHA1_96/AES_XCBC_96/HMAC_MD5_96/NO_EXT_seq
【CFG】no matching proposal found sending no_PROPOSAL_CHOSEN
日誌描述:
兩端協議不匹配,從日誌來看是一端選擇了modp1024另一端沒有選擇或者設置錯誤。
解決方法:
出現此類報錯,首先確定對端modp選擇modp1024
注意事項:
一般情況下,其他品牌路由的IPsec group 1對應的為modp768,group 2對應modp1024
5.穿越NAT以及預共享密鑰錯誤導致連接異常
16:11:04 10[IKE]remote host is behind NAT
16:11:04 10[IKE]authentication of '116.247.107.138'(myself)with pre-shared key
16:11:04 10[IKE]no shared key found for '116.247.107.138'-116.236.225.30'
日誌描述:
存在兩方面的日誌報錯:
1.預共享密鑰配置錯誤。
2.一端為私網地址(或兩臺路由器之間經過了nat轉發)
解決方法:
1.兩端預共享密鑰填寫一致。
2.私網地址一端為IPsec客戶端。設置單向訪問
若IPsec過NAT,則需要注意以下幾點
a) 服務端的“對方IP/域名”必須為空,只能充當服務器,且服務端不允許過NAT。
b) 要先啟動服務端,再啟動客戶端
6.一端為私網地址導致IPsec VPN無法互訪
[ENC]generating IKE_SA_INIT response 0{N(no_prop)
[NET]sending packet:from 59.33.215.127[500]to183.30.192.195[500]
[NET]received packet:from 216.218.206.70(25573)to 59.33.215.127[500]
日誌描述:
IPsec對端路由的wan口地址為私網地址(或中間經過了nat轉發)導致回送數據異常,無法互訪
解決方法:
wan口地址為私網地址的一端為IPsec的客戶端設置單向訪問
若IPsec過NAT,則需要注意以下幾點
a) 服務端的“對方IP/域名”必須為空,只能充當服務器,且服務端不允許過NAT。
b) 要先啟動服務端,再啟動客戶端
注意事項:
從這個日誌上面顯示最明顯的為愛快以500端口發送數據,對端路由以25573回送的數據。
閱讀更多 軟路由 的文章
