ipsec

【今日推荐】：为什么一到面试就懵逼！>>> 固件说明 基于Lede OpenWrt R2020.4.8版本（源码截止2020.4.12）Lienol Feed及若干自行维护的软件包 结合家庭x86软路由场景需要定制 按照家庭应用场景对固件及软件进行测试，通过后发布 设计目标 一个与现有OpenWrt最新版本接近，稳定，满足家庭使用场景的需要的固件。 软件包不追求高大全，内置软件无冲突，一切以家庭实际需要出发。 软件包功能 支持UPnP（为BT、EMULE，家用摄像头、XBOX、PS4提供支持） 支持CIFS文件共享协议（路由直接挂载NAS、Samba、Windows文件夹，通过cifs.mount或者图形化挂载工具） 支持单线/多线多拨（提升上行带宽，提高从因特网获取家庭文件速度） 支持多拨负载均衡 支持All In One DNS 方案： 反追踪去AD+国内域名加速解析+抗污染+速度优选 与PSW无缝集成，方案说明 https://www.right.com.cn/forum/thread-3413846-1-1.html 支持DDNS（可以通过域名随时获得家庭路由器IP） 支持SSH远程访问（从因特网连接路由器） 支持远程唤醒（WOL，从因特网连入路由器启动家中电脑） 支持定时唤醒（Time WOL，定时启动家庭设备，配合自动关机实现定时运行） 支持全功能Docker

先放出拓扑说明一下结构。 分支有两条线路，一条IPsec ***访问分部的内部资源，一条MSTP专线访问总部资源。如果MSTP线路断了，也可以从***访问总部资源。原本的配置已经完成，使用正常，此次客户重新规划地址段，要改一下分支的地址段，所以IPsec这块就需要重新配置了。同样的，MSTP那边也要改配置。 按照客户要求，完成了配置修改，首先测试去访问总部资源，没有问题，正常的。然后测试从IPsec访问分部的资源，也没问题。最后一步，断开MSTP线路访问总部资源，发现不行了，然后此时，访问分部资源也不行了。这里就出现了奇怪的现场，断开MSTP怎么会影响到***线路。 之后再次测试，插回MSTP线路，业务访问就都恢复正常了。反复几次都是这样，心里就怀疑是不是出BUG了，那就这样，把MSTP专线的配置全删了，只插线，这样测试，这时候还是不通，然后把接口地址配上，这时候居然就通了，指数据走MSTP的路由这时候都还没配。 这下更确认是产品问题了，联系了客服看配置，又抓包，啥也没看出来，说配置没问题。我看了一下分部抓包的信息，PING包的来回，好像有规律，收到的请求是回应的1/2，再一看，分部回应一次发2个报文，而且这2个报文的MAC都不一样。虽然不知道为什么会这样，感觉既然不正常，那就查查MAC到底是哪的。核对了设备上的接口MAC，发现其中一个是分部设备去往总部的接口MAC，这就有点感觉了

2020年3月26日，pfSense2.4.5发布，这一版本修复了安全漏洞，增加了一些新功能，并支持新的Netgate硬件平台，该版本对以前发行版中存在的错误进行了修正。 点击 这里 下载pfSense2.45，要查看本次发行版本修改的完整列表，请参阅 发行说明 。 新功能 2.4.5添加了如下的新功能，包括： 操作系统升级 ：操作系统已升级到FreeBSD 11-STABLE。 添加了排序和搜索/过滤，包括证书管理器，DHCP租约和ARP / NDP表。 添加了DNS解析器（Unbound)Python集成。 添加了IPsec DH和PFS组25、26、27和31。 更改后的UFS文件系统默认为 noatime 全新安装，以减少不必要的磁盘写入。 设置 autocomplete=new-password 包含验证字段的表单，以帮助防止浏览器自动填写不相关的字段。 添加了新的动态DNS提供程序Linode和Gandi。 安全修复 pfSense2.4.5修复了以下安全问题： 多个GUI页面中的潜在跨站点脚本（XSS）向量。 特权升级问题，其中，经过身份验证的用户被授予对图片小部件的访问权限，可以运行任意PHP代码或获得对他们没有特权的页面的访问权限。 在升级时为UFS文件系统添加了一个-z参数运行fsck，以解决FreeBSD-SA-19：10.ufs

客户需求 　　1. 深信服AF 对接Azure 云端ipsec vpn 具体配置 　　Azure 云端配置不做阐述(因为我不会- - 哈哈) 　　1. Azure云端已完成的基础条件 　　　　1.1 基于路由的IKEV2 　　2. 深信服配置(必须8.0.23版本以后哟) 　　　　2.1 新建第三方对接配置 　　　　　 　　　　 　　　　2.2 新增加密数据流 　　　　 　　　　2.3 IKE配置 　　　　 　　　　2.4 IPSEC配置，超时时间需要根据Azure资料修改，我此处使用27000 　　　　 　　　　2.5 如果不出意外，IPSEC已经建立连接了，但是有可能在云端看到的还是未连接的状态，此时只要在本地触发下流量就行了，我使用ping云端地址的方式触发 　　　　 　　3. 下面附上Azure建议的参数列表 　　　 　　　　 　　 　　 来源： https://www.cnblogs.com/kailsay/p/12585447.html

模板方式配置多站点思路 第一步：基本配置 FW1防火墙的配置 # sysname FW1 # interface GigabitEthernet0/0/0 ip address 202.1.1.1 255.255.255.0 service-manage ping permit # interface GigabitEthernet1/0/0 ip address 192.168.1.254 255.255.255.0 service-manage ping permit # ip route-static 0.0.0.0 0.0.0.0 202.1.1.254 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/0 # firewall zone untrust set priority 5 add interface GigabitEthernet0/0/0 # security-policy default action permit # FW2路由器的配置 # sysname FW2 # interface GigabitEthernet0/0/0 ip address 101.1.1.1 255.255.255.0 service-manage ping permit #

配置模板方式配置思路 ike peer fw2 exchange-mode aggressive 修改模式为野蛮 其它部分同主模式 注意： 野蛮模式也必须指定remote-address , 必须配置远端地址或者域名 华为不建议野蛮模式，推荐使用模板方式 [FW1-ipsec-policy-isakmp-ipsec_policy-10]ike-peer fw2 Error: ike peer's remote addresses or domain name should be configed. 第一步：基本配置 FW1防火墙的配置 # sysname FW1 # interface GigabitEthernet0/0/0 ip address 202.1.1.1 255.255.255.0 service-manage ping permit # interface GigabitEthernet1/0/0 ip address 192.168.1.254 255.255.255.0 service-manage ping permit # ip route-static 0.0.0.0 0.0.0.0 202.1.1.254 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/0 #

野蛮模式详细报文过程 野蛮模式只用到三条信息  前两条消息用于①和②协商提议，交换Diffie-Hellma公共值、必需的辅助信息以及身份信息，并且消息②中还包括响应方发送身份信息供发起方认证，消息③用于响应方认证发起方 3个消息 Initiator Responder ----------- ----------- 消息一： HDR, SA, KE, Ni, IDii --> 消息二 : <-- HDR, SA, KE, Nr, IDir, HASH_R 消息三： HDR*, HASH_I --> 缺点：身份认证是采用明文方式, 具有不安全性（不推荐）推荐使用：模板方式 快速模式（QUICK MODE）  快速模式中，双方需要协商生成IPSec SA各项参数（包含可选参数PFS），并为IPSec SA生成认证/加密密钥。这在快速模式交换的前两条消息①和②中完成，消息②中还包括认证响应方。消息③为确认信息，通过确认发送方收到该阶段的消息②，验证响应者是否可以通信。 快速模式 ： HDR*, HASH(1), SA, Ni [, KE ] [, IDci, IDcr ] --> <-- HDR*, HASH(2), SA, Nr [, KE ] [, IDci, IDcr ] HDR*, HASH(3) --> 注：中括号是可选参数 HASH(1) = prf(SKEYID_a,

IPSEC *** V1配置思路 IPsec ***安全策略配置流程图 第一步：基本配置 FW1防火墙的配置 # sysname FW1 # interface GigabitEthernet0/0/0 ip address 202.1.1.1 255.255.255.0 service-manage ping permit # interface GigabitEthernet1/0/0 ip address 192.168.1.254 255.255.255.0 service-manage ping permit # ip route-static 0.0.0.0 0.0.0.0 202.1.1.254 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/0 # firewall zone untrust set priority 5 add interface GigabitEthernet0/0/0 # security-policy default action permit # FW2路由器的配置 # sysname FW2 # interface GigabitEthernet0/0/0 ip address 101.1.1.1 255.255.255.0 service

微信公众号： 网络民工 本例介绍预共享密钥认证方式下的IPSec隧道配置方法。 组网需求 如图1所示，网络A和网络B通过NGFW_A和NGFW_B连接到Internet，NGFW_A和NGFW_B公网路由可达。现需要在NGFW_A和NGFW_B之间建立IKE方式的IPSec隧道，使网络A和网络B的用户可通过IPSec隧道安全互访。 图1 IKE协商方式的点到点IPSec隧道举例组网图 数据规划 配置思路 NGFW_A和NGFW_B的配置思路相同。1.配置接口IP地址并将接口加入到安全区域。 2.配置安全策略。 3.配置到对端内网的路由。 4.配置IPSec策略。包括配置IPSec策略的基本信息、配置待加密的数据流、配置安全提议的协商参数。 操作步骤 •配置NGFW_A（总部）。 1.配置接口IP地址。 <sysname> system-view [sysname] sysname NGFW_A [NGFW_A] interface GigabitEthernet 1/0/3 [NGFW_A-GigabitEthernet1/0/3] ip address 10.1.1.1 24 [NGFW_A-GigabitEthernet1/0/3] quit [NGFW_A] interface GigabitEthernet 1/0/1 [NGFW_A-GigabitEthernet1/0

安全联盟（SA）  IPSec通过在IPSec对等体间建立双向安全联盟（SA），形成一个安全互通的IPSec隧道，来实现Internet上数据的安全传输  SA由一个三元组来唯一标识，这个三元组包括安全参数索引SPI（Security Parameter Index）、目的IP地址和使用的安全协议号（AH或ESP）。其中，SPI是为唯一标识SA而生成的一个32位比特的数值，它在AH和ESP头中传输。在手工配置SA时，需要手工指定SPI的取值。使用IKE协商产生SA时，SPI将随机生成  SA是单向的逻辑连接，因此两个IPSec对等体之间的双向通信，最少需要建立两个SA来分别对两个方向的数据流进行安全保护。如图1所示，为了在对等体A和对等体B之间建立IPSec隧道，需要建立两个安全联盟，其中，SA1规定了从对等体A发送到对等体B的数据采取的保护方式，SA2规定了从对等体B发送到对等体A的数据采取的保护方式  另外，SA的个数还与安全协议相关。如果只使用AH或ESP来保护两个对等体之间的流量，则对等体之间就有两个SA，每个方向上一个。如果对等体同时使用了AH和ESP，那么对等体之间就需要四个SA，每个方向上两个，分别对应AH和ESP  有两种方式建立IPSec安全联盟：手工方式和IKE自动协商方式。二者的主要区别为  密钥生成方式不同  手工方式下，建立SA所需的全部参数