Strongswan:gcrypt-ikev2/rw-cert测试浅析

本文详细描述了一项使用GNUlibgcrypt库的加密插件gcrypt进行的远程用户carol和dave与网关moon的加密连接测试,涉及X.509证书认证、IKEv2协议和ping测试验证。测试包括启动脚本、配置、预测试、实际测试和收尾步骤。

实验介绍        

        该场景是远程用户(roadwarrior)carol和网关moon使用基于GNU libgcrypt库的加密插件gcrypt,执行加密相关操作。而远程用户dave使用strongswan默认的加密插件:为IKE连接使用加密套件:aes des sha1 sha2 md5 gmp等。远程用户carol和dave建立到网关moon的连接,认证采用X.509证书方式,连接成功建立之后,在主机carol和dave上ping网关moon之后的虚拟主机alice,以验证连通性。

        以下启动gcrypt-ikev2/rw-cert测试用例.

        注意:在启动之前需要执行start-testing脚本开启测试环境。

$ cd strongswan-5.9.6/testing
$
$ sudo ./do-tests gcrypt-ikev2/rw-cert
 
Guest kernel : 5.2.11
strongSwan   : 5.9.6
Date         : 20220621-1053-20

[ ok ]  1 gcrypt-ikev2/rw-cert: pre..test..post

Passed : 1
Failed : 0

The results are available in /srv/strongswan-testing/testresults/20220621-1053-20
or via the link http://192.168.0.150/testresults/20220621-1053-20

Finished : 202206221-1053-36

      由以上显示可知:测试用例gcrypt-ikev2/rw-cert的测试结果记录文件保存在以下目录:/srv/strongswan-testing/testresults/20220621-1053-20/gcrypt-ikev2/rw-cert/中,这些文件记录了测试过程中虚拟机carol和dave,以及网关moon的各种状态信息和运行日志。

        测试拓扑如下:

配置

moon网关配置

配置文件swanctl.conf

strongswan-5.9.6/testing/tests/gcrypt-ikev2/rw-cert/hosts/moon/etc/swanctl/swanctl.conf

     注意网关moon的连接配置

  • 连接rw(roadwarrior)的proposals使用:aes128-sha256-modp3072,3des-sha1-modp1536,分别对于主机dave和carol的连接proposals配置 。
  • 子连接net的esp_proposals使用:caes128-sha256-modp3072,3des-sha1-modp1536,分别对于主机dave和carol的子连接proposals配置。

        作为网关,其事先并不知晓连接对端的IP地址信息,此处只有local_addrs的配置。

connections {

   rw {
      local_addrs  = 192.168.0.1

      local {
         auth = pubkey
         certs = moonCert.pem
         id = moon.strongswan.org
      }
      remote {
         auth = pubkey
      }
      children {
         net {
            local_ts  = 10.1.0.0/16 

            updown = /usr/local/libexec/ipsec/_updown iptables
            esp_proposals = aes128-sha256-modp3072,3des-sha1-modp1536
         }
      }
      version = 2
      proposals = aes128-sha256-modp3072,3des-sha1-modp1536 
   }
}

配置文件strongswan.conf

strongswan-5.9.6/testing/tests/gcrypt-ikev2/rw-cert/hosts/moon/etc/strongswan.conf

        该配置文件指定要加载的模块,与carol配置相同,这里使用gcrypt插件。(也可以保持默认)

swanctl {
  load = pem pkcs1 x509 revocation constraints pubkey openssl random
}

charon-systemd {
  load = curl test-vectors pem pkcs1 gcrypt nonce x509 revocation hmac xcbc ctr ccm gcm vici kernel-netlink socket-default updown
  integrity_test = yes
  crypto_test {
    on_add = yes
  }
}

carol配置

&n

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

技术探索者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值