StrongSwan 搭建IPsec (IKEv1 and IKEv2) 实现不同局域网之间通讯

使用strongswan搭建属于你自己的私有IPsec (IKEv1 & IKEv2)

一、 环境和前期准备工作
   1 环境

2 配置环境

<br />

二、 搭建步骤

注意事项： 安装后一定要做软连接，并且清楚自己的虚拟化方案是哪个，加入正确的配置，否者会照成无法上网

注意事项 ： 服务器这边的CN一定是你网卡的ip，或者你网卡ip对应的域名，--san 设置设置别名，建议设置两个或者两个以上，分别为你的域名和网卡ip;–flag serverAuth 表示证书使用用途，不加windows 7会报错，非 iOS 的 Mac OS X 要求了“IP 安全网络密钥互换居间（IP Security IKE Intermediate）”这种增强型密钥用法（EKU），–flag ikdeIntermediate;

vim /usr/local/strongswan/etc/ipsecconf

vim /usr/local/strongswan/etc/strongswanconf

2编辑 /etc/systclconf

3开启 firewall的转发功能

三、 各种终端测试

IPSec
端到端技术
Seclarity最近发布的网卡，集成了Peer
to
Peer的功能，从而能够以一种新的方式为局域网和广域网络提供安全性。Seclarity的新产品包括以太网卡和无线局域网卡，在这些网卡中集成了IPSec
的终端，从而能够让计算机和计算机之间建立起安全的IP通道。这种PC到PC(服务器)的全程加密连接，安全性更高。
要实现在网络中的端到端安全，需要用户在PC机中添加Seclarity公司的硬件产品——SiNic。而正常的运转还需要Seclarity的Central
Command
Console软件帮忙。Central
Command
Console是一个集中设置策略、分布执行的架构。在网络中需要有一个服务器运行这一软件，在这个服务器上，有该软件的图形配置界面、数据库。网络管理人员集中的在这一服务器上进行设置，相关的策略将存储在服务器的数据库中。这一方案给一些如银行这样对安全要求非常高的企业提供了安全的、易于实施的局域网方案。
推荐理由
一些对安全要求很高的用户对端到端(PC到服务器)加密的要求由来已久，而且这也将是大势所趋，特别是网络社会跨入IPv6时代以后。Seclarity的产品提供了端到端IPSec
的解决方案顺应这一大方向。今天来看，用户获得Seclarity的端到端方案，需要付出的代价是采用新的网卡。但是这也代表着一个趋势，未来的计算机系统，网卡需要承担更多的工作，降低对CPU的压力，就像今天很多网卡可以做到的TCP/IP的Off
load。
另一个推荐理由是，该产品是基于用户信息提供安全策略，集中配置和分发执行。这比固化在网卡中要好，更贴合实际的管理运营需要。过去WLAN的安全方案仅仅依赖在网卡上设置WEP、SSID，一方面是管理上不方便，另外一旦网卡丢失，也会带来新的安全隐患。
Seclarity端到端设备
■
关键特性
集中的安全策略设定，提供PC到PC的端到端安全通信能力，利用网卡硬件提供安全通信特性。用户需要安装新的硬件设备。
■
应用领域
对局域网、广域网安全有高要求的用户。

PPTP，L2TP，IPSec和SSL 的区别为：性质不同、用途不同、应用不同。

一、性质不同

1、PPTP：PPTP是由包括微软和3Com等公司组成的PPTP论坛开发的一种点对点隧道协议。

2、L2TP：L2TP是IETF基于L2F （Cisco的第二层转发协议）开发的PPTP的后续版本第 2 层隧道协议 。

3、IPSec：IPSec是封装、路由与解封装整个隧道过程的隧道模式。

4、SSL ：SSL 是在应用协议传输第一个数据字节以前，彼此确认，协商一种加密算法和密码钥匙的SSL协议。

二、用途不同

1、PPTP：PPTP通过跨越基于 TCP／IP 的数据网络创建 实现了从远程客户端到专用企业服务器之间数据的安全传输。

2、L2TP：L2TP为跨越面向数据包的媒体发送点到点协议 （PPP） 框架提供封装。

3、IPSec：IPSec主要是为了与其他不支持 IPSec 上的 L2TP 或 PPTP 隧道技术的路由器、网关或终端系统之间的相互 *** 作。

4、SSL ：SSL 在数据传输期间，记录协议利用握手协议生成的密钥加密和解密后来交换 的数据。

三、应用不同

1、PPTP：PPTP在要跨越公司 IP 网络或公共 IP 网络上使用。

2、L2TP：L2TP在IP（使用UDP），桢中继永久虚拟电路 （PVCs），X．25虚拟电路（VCs）或ATM VCs网络上使用。

3、IPSec：IPSec应用于路由器、防火墙、代理服务器或其他安全网关中。

4、SSL ：SSL 置身于网络结构体系的 传输层和应用层之间。

在比较 IPsec 与 SSL 的之前需要做的第一步是确定组织及其用户的要求，并确定 最重要的特性和功能。

那么通过下面这张图可以直观的看出IPsec 和 SSL 之间的区别，下面的文字内容是加以补充和扩展，更有助于您详细的了解两者之间的区别：

性能：对于现代硬件，IPsec 和 SSL 使用的加密类型通常不会导致性能问题，但组织应该使用基准测试来测试 候选者。IPsec 使用客户端上的一个软件配置客户端和服务器之间的隧道，这可能需要相对较长的设置过程；通过 Web 浏览器运行的 SSL 通常能够更快地建立连接。

安全性：一种类型的 不一定在所有情况下都更安全。确定哪种类型的 更安全的最重要因素是组织基于其 要求的威胁模型。每种 类型都应根据组织要防御的攻击类型进行评估。所使用的加密算法的安全性很重要，但实现的其他组件的安全性也很重要。

数据认证： 可以加密所有传输的数据，但它们也可以添加数据认证以防止篡改，通过使用强大的加密认证算法来验证数据在 客户端和服务器之间的传输过程中没有被修改。但是，它们确实需要安全的密钥交换机制来启用身份验证。虽然 SSL/TLS[1] 协议包含密钥交换算法的协商，但 IPsec 依赖外部协议 Internet 密钥交换来实现此目的。

攻击防御：对 IPsec 和 SSL 的攻击——以及对这些攻击的防御——将根据底层 协议、实现和附加功能而有所不同。IPsec 和 SSL 之间的主要区别在于每种协议的端点不同。IPsec 通常支持远程访问整个网络以及该网络上提供的所有设备和服务。如果攻击者获得对安全隧道的访问权限，他们可能能够访问专用网络上的任何内容。SSL 支持设备、特定系统和应用程序之间的连接，因此攻击面更加有限。

客户端安全性：虽然 IPsec 协议是 TCP/IP 套件的一部分，但它并不总是作为支持 TCP/IP 的 *** 作系统的默认组件来实现。相比之下，SSL 依赖于 TLS，它默认包含在 Web 浏览器中，以及许多其他应用层协议。因此，比较 IPsec 和 SSL 应该包括考虑客户端如何连接和使用 ，以及这些选项的安全性。实施者应考虑客户端如何连接到 、启用 的客户端的攻击面和 用户配置文件。

网关：SSL 网关可能会启用更精细的配置选项，以限制对受保护网络上特定系统或服务的访问。IPsec 产品的网关的可配置性可能要低得多。虽然他们可能添加了数据包过滤功能，使策略或配置能够限制对受保护网络的特定 IP 地址或子集的访问，但应注意避免增加不必要的复杂性和软件附加组件带来的额外安全风险。在任何一种情况下，都可以考虑在网络访问控制系统旁边部署 ，该系统可以通过基于明确定义的策略限制对网络资源的访问来增强整体安全性。

端到端网络：TLS用于传输层，即在进程之间进行通信的网络层。相比之下，IPsec 在网络层运行，在该层中，具有 IP 地址的网络节点之间进行通信。当受保护的 电路的任一端位于使用网络地址转换 ( NAT) 虚拟化 IP 地址的网络上时，这使得保护端到端加密更加困难。使用 IPsec ，实现跨 NAT 网关的安全通信需要额外的配置和管理。

虽然 IPsec 和 SSL 之间的许多差异可归因于正在实施的底层协议之间的差异，但也应考虑具体的实施。

dm***是ipsec***的一种 mpls和ipsec有本质上的区别 ipsec 相当于是把数据加密然后丢到公网上面传递到对端 ipsec隧道建立起来之后 防火墙会引导感兴趣流量到达对端 这个时候下联的设备 可能都不知道有对端的存在 只是把包丢给了防火墙让他来送到对端 而mpls*** 传递的不是数据 而是路由条目 是让路由器 知道对端的路由
比方说 ab两个站点 a站点的私网地址是19216810网段 b站点是19216820网段 私网地址是不可以在公务上传播数据的 ipsec的做法是让两个站点的防火墙之间建立一个加密的隧道 让数据在这个隧道里面走 只要是从10网段 想要到达 20网段的数据 就会触发这个隧道并且把数据传递过去a站点的内部网络设备 只知道自己的出口是防火墙 路由表里并没有19216820这个网段
mpls ***的做法是 将10 20这两个网段的路由传递给对方 a站点的设备都知道b站点20这个网段根据路由表上呈现的 下一跳 和出口 数据包就会到达对端 b站点也一样

---