————————————————————————————————————————————————————————————
实验目的: linux 与 windows 通过 Ipsec 加密某端口通讯 比如RDP 3389
————————————————————————————————————————————————————————————
环境:
computer1 :
————————————————————————————————————————————————————————————
Windows2003 Server +SP2
IP 192.168.30.3 (私有地址)
Ipsec 设置如下
启用安全审核 成功 失败, 修改注册表 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PolicyAgent\Oakley\EnableLogging DEWORD值=1
(以上设置为了便于调试)
Windows 防火墙:3389 开 UDP 500 开 UDP 4500开
Windows 设置 3389端口通过Ipsec加密
Ipsec设置
源地址 any 源mask any 源端口 any 目的地址 我的IP 目标端口 TCP 3389
IKE2阶段 ESP 3DES hsa1 ah 无 PFS 无
预共享密匙 0X1234567890
——————————————————————————————————————————————————————————
computer2 :
______________________________________________________________________________________________________
Windows2003 Server +SP2
IP 222.55.10.3 (公网地址)
启用安全审核 成功 失败, 修改注册表 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PolicyAgent\Oakley\EnableLogging DEWORD值=1
(以上设置为了便于调试)
Windows 防火墙:3389 开 UDP 500 开 UDP 4500开
Windows 设置 3389端口通过Ipsec加密
Ipsec设置
源地址 any 源mask any 源端口 any 目的地址 我的IP 目标端口 TCP 3389
IKE2阶段 ESP 3DES hsa1 ah 无 PFS 无
预共享密匙 0X1234567890
————————————————————————————————————————————————————————————
computer3 :
—————————————————————————————————————————————————————————————
Ubuntu 11
IP :192.168.30.2
Ipsec-tools 0.8.0
/etc/racoon/setkey.conf
_________________________________________________________________________________________________________
flush; #flush SAD
spdflush;# flush SPD
spdadd 192.168.30.2any] 222.55.10.3 [3389] tcp -P out ipsec esp/transport//require;
spdadd 222.55.10.3 [3389] 192.168.30.2[any] tcp -P in ipsec esp/transport//require;
spdadd 192.168.30.2[any] 192.168.30.3[3389] tcp -P out ipsec esp/transport//require;
spdadd 192.168.30.3[3389] 192.168.30.2[any] tcp -P in ipsec esp/transport//require;
__________________________________________________________________________________________________________
psk.txt
_______________________________________________________________________________________________________
192.168.30.3 0X1234567890
222.55.10.3 0X1234567890
————————————————————————————————————————————————————————————
/etc/raccon/raccon.conf
_________________________________________________________________________________________________________
path pre_shared_key "/etc/racoon/psk.txt"; #共享密钥文件
#path certificate "/etc/racoon/cert"; ##证书文件目录
log debug2;
padding
{
maximum_length 20;
randomize off;
strict_check off;
exclusive_tail off;
}
listen
{
isakmp 192.168.30.2[500];
isakmp_natt 192.168.30.2 [4500];
}
# Specify various default timers.
timer
{
counter 10;
interval 20 sec;
persend 1;
phase1 90 sec;
phase2 60 sec;
natt_keepalive 30 sec;
}
remote anonymous {
exchange_mode main;
lifetime time 480 min;
generate_policy off;
send_cert on;
nat_traversal on;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous
{
#pfs_group 2;
lifetime time 12 hour;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
chmod 600 /etc/racoon/setkey.conf
chmod 600 /etc/racoon/racoon.conf
chmod 600 /etc/racoon/psk.txt
——————————————————————————————————————————————————————————————
sudo racoon -F -v -ddd -f /etc/racoon/racoon.conf -l ~skybug/racoon_debug.log
telnet 192.168.30.3 3389
正常访问 能够使用RDP连接
telnet 222.55.10.3 3389
debug.log显示 phase1 IKE交换完成 phase2 出现 INVALID-ID-INFORMATION 的错误
在222.55.10.3上 可以看到
event id 547 的错误
失败点: 我 失败原因: 没有配置策略 额外状态: 处理了第三个(ID)负载响应程序。增量时间 0 0x0 0x0
ipsecmon上可以看到 安全关联 Oakley.log中显示与eventid 547相同的错误。
————————————————————————————————————————————————————————————
结果: linux上同样的ipsec-tools配置 可以连接到同Ipsec配置的局域网内的Windows 机器,但是局域网内的linux发起的IKE 与windows 建立安全关联后 无法完成ipsec IKE交换
猜想1 在NAT前数据包加密验证完整性 NAT后 IP地址换了后 完整性?
猜想2 linux下 NAT-T 不支持传输模式?or NAT-T 不支持与共享密匙?
猜想3 linux Ipesc 访问局域网内的windows机器和局域网外(NAT后)的windows机器配置应该不同?(不同在哪里?)
下次用rsa证书验证试试
