ipsec

解决win-7连接IPsec报错789和809错误 萌新一枚，大神请飘过~~~ 最近遇到一个很沙雕的问题，win7连接IPsec一直报错789，百度方法解决掉后又报错809，809解决掉后继续报789，很是恼火。 网络上基本找不到可行方案，问题解决后写篇博客分享一下。 如果不出意外的话，windows7、vista、xp应该都试用，但因为我要用的这 台电脑是win7，所以还是仅供参考。 应该具备的材料 server IP IPsec PSK Username password 上菜 1、 退出流氓安全软件 不多说 2、 导入注册表 开始 ——> 在搜索栏搜索 cmd ——> 右击，以管理员身份运行 复制以下代码，粘贴，回车 REG ADD HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 0x2 /f REG ADD HKLM\SYSTEM\CurrentControlSet\Services\RasMan\Parameters /v ProhibitIpSec /t REG_DWORD /d 0x0 /f 3、 设置本地安全策略 win + R 搜索 secpol.msc 本地策略 > 安全选项 网络安全：LAN

互联网安全协议（英语：Internet Protocol Security，缩写：IPsec）： 　　本质上一个协议包，透过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族（一些相互关联的协议的集合）。 　　IPsec主要由以下协议组成： 　　　　一、认证头（AH），为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护； 　　　　二、封装安全载荷（ESP），提供机密性、数据源认证、无连接完整性、防重放和有限的传输流（traffic-flow）机密性； 　　　　三、安全关联（SA），提供算法和数据包，提供AH、ESP操作所需的参数。 IPsec设计意图 　　（1）入口对入口通信安全，在此机制下，分组通信的安全性由单个节点提供给多台机器（甚至可以是整个局域网）； 　　（2）端到端分组通信安全，由作为端点的计算机完成安全操作。 　　上述的任意一种模式都可以用来构建虚拟专用网（VPN），而这也是IPsec最主要的用途之一。 IPsec业务流程 认证头（AH，Authentication Header）: 　　 字段含义： 　　下一个头：标识被传送数据所属的协议。 　　载荷长度：认证头包的大小。 　　保留：为将来的应用保留（当前都置为0）。 　　安全参数索引：与IP地址一同用来标识安全参数。 　　串行号：单调递增的数值，用来防止重放攻击。 　　认证数据

I want to be able to add or remove IP Security Policies on Windows Server 2003 programmatically with C#. Normally you'd manipulate these policies manaully through the gpedit.msc snap-in (under Windows Settings -> Local Policies -> IP Security Policies on Local Computer). But I need to be able to add IP filter policies through code. Any ideas on how to do this? asteroid I've been dealing with this issue for about two weeks, and, unfortunately, you have two options, depending on the depth of control you need: 1) Direct manipulation with WMI. Counter-intuitively, this actually exposes LESS

https://blog.csdn.net/chenxz_/article/details/8522019 https://blog.csdn.net/bytxl/article/details/16825251 来源： https://www.cnblogs.com/hshy/p/11635701.html

用该方法配置后用抓包工具抓取的就看不到两个通讯点的IP，而显示的是加密点的IP。 来源： https://www.cnblogs.com/yangyang1988/p/11559819.html

IPSec NAT 穿越简介 IPSec NAT穿越的场景： 本质上解决ESP协议无法提供转换端口，插入UDP 4500端口 有以下两种场景，需要进行进行NAT穿越。 场景一、FW既做IPSEC网关，又做NAT转换 此种场景下，是当运营商给客户的动态分配的私网地址情况下，FW需要穿越运营商的nat。 IPSEC网关与NAT在同一台设备 ，如果运营商给分配的是公网地址，需要做NAT旁路(NAT豁免） 场景二、FW处于内部只做IPSEC网关，前面有专门的设备做NAT(可以FW也可以ROUTER） IPSec的封装协议分析： 图：传输模式下AH和ESP的封装 如上图，在传输模式下，AH认证整个IP报文，当经过NAT转化后，肯定会认证不成功。在ESP封装下，虽然认证访问不包括IP头，但是因为通过nat后，nat修改了外层IP地址，由于TCP/UDP校验和的计算包含IP源目地址，所以TCP/UDP的校验和需要更新，但是现在TCP/UDP已经被ESP加密，中间路由器无法更新TCP/UDP的校验和，所以TCP的校验和检查最终会失败。 图：隧道模式下AH和ESP的封装 如上图，在隧道模式下，AH认证整个IP头部，包括新生成的IP头，这种情况当经过nat后， IP地址发送变化，也肯定不能认证成功。在ESP的封装下，ESP的认证范围是从ESP头部到ESP尾部。当通过nat时，改变的仅仅是外层IP头部

子标题：ipsec rekey是否会导致丢包 author: classic_tong 前言 什么叫rekey。 rekey是指ipsec的通信两端定期更换加密信道秘钥的机制。 为了安全性考虑，随着秘钥使用时间的延迟，对称秘钥被破解的可能性会逐渐增大。所以，定期更换 对称秘钥，是保证ipsec安全性的必要手段。 我们知道key有两个key，IKE sa的key和child sa（ipsec sa）的key。所以rekey也有两个，ike rekey 和child rekey。 这里只讨论child sa的rekey。 所有内容，都来自这里： https://tools.ietf.org/html/rfc7296#section-2.8 一 概念 rekey是指，一旦满足rekey条件（soft条件）时，会向另一端发送一个CREATE_CHILD_SA请求消息，另一个端回复 一个CREATE_CHILD_SA响应消息。从而协商出一个新的sa的过程。 这个时候，旧的SA并没有被删除，一旦瞒住删除条件（hard条件）时，旧的SA会被满足条件的一段，通过INFORMATION条件触发删除。 rekey的触发条件分三种，时间触发，报数触发，字节数触发。其中各又被分为soft和hard两种条件。用来分别触发上边的描述。 例如：设置了时间触发为100秒。就是指child

strongwan sa分析(三) Author：caotong Date：2019-01-02 Version：1.0 xfrm与strongswan内核接口分析 1. strongswan的实现 如下图，业务场景可以分为两类： 下发类的交互主要由包触发或用户配置动作触发。 消息类的交互主要由watcher监听socket，然后触发。 2. 交互机制 2.1 下发消息 消息名 功能定义 XFRM_MSG_ALLOCSPI 获取SPI XFRM_MSG_NEWSA 新建SA XFRM_MSG_UPDSA 更新SA XFRM_MSG_GETSA 获取SA XFRM_MSG_DELSA 删除SA XFRM_MSG_FLUSHSA 清空SA XFRM_MSG_GETSPDINFO 获取SPD信息 XFRM_MSG_NEWPOLICY 新建安全策略 XFRM_MSG_UPDPOLICY 更新安全策略 XFRM_MSG_GETPOLICY 获取安全策略 XFRM_MSG_DELPOLICY 删除安全策略 XFRM_MSG_FLUSHPOLICY 清空安全策略 2.2 接收消息 消息名 功能定义 XFRM_MSG_ACQUIRE ??? XFRM_MSG_EXPIRE CHILD_SA超时 XFRM_MSG_MIGRATE CHILD_SA热迁移 XFRM_MSG_MAPPING

1.学习章节 7网络安全 7.6互联网使用的安全协议 2. 笔记概要 关键词：IPsec协议族 2.1 pending... 来源： https://www.cnblogs.com/gloriachen/p/11437825.html