问题标签 [strongswan]

我们想使用 FreeRadius 设置 StrongSwan VPN 进行身份验证。除此之外，我们还想根据 AD 组为用户分配不同的子网。StrongSwan 在访问接受回复中使用 class 属性（https://wiki.strongswan.org/projects/strongswan/wiki/EapRadius）。

据我所知，可以使用 FreeRadius 中的自定义属性来存储在回复/代理/控制过程中使用的数据并将其发送回 StrongSwan。

不幸的是，这在我们的 FreeRadius 环境中不起作用，并且自定义属性保持为空。然而，可以访问回复列表中已经存在的属性。

例如，此配置发回一个空的变量回复消息。

/etc/raddb/字典：

/etc/raddb/用户

/etc/raddb/sites-enabled/default

日志输出：

FreeRADIUS 版本 3.0.19

根据本指南，上面的配置应该可以工作：

• 在半径回复中返回自定义用户属性
• https://serverfault.com/questions/939980/freeradius-return-user-groups-in-class-field

我们有什么遗漏吗？提前致谢。

我们使用 strong-swan 创建了 Ipsec 隧道，如下所示，

服务器（eth 接口 - 13.13.7.13）--> clinet（eth 接口 - 13.13.7.18）

当 ikev2 phase1 和 phae2 消息交换发生时，源 IP 和目标 IP 与分配给 eth 接口的 IP 地址相同。（通过wire-shark确认）。并且ISAKMP消息交换已经成功完成。

1）当我开始在客户端和服务器之间通过 SCP 协议传输数据时，我注意到 ESP 和 SSH 数据包。其中 ESP 数据包只有序列号但没有加密的有效负载，而 SSH 数据包具有加密的有效负载。但根据 Ipsec 协议，数据应在 ESP 协议本身中加密。为什么 ESP 数据包中没有有效载荷信息？

FI：我注意到 ISAKMP 交换后连续的 ESP 数据包（协商和身份验证完成）

SSH 和 ESP 数据包如下所示：

我按照本教程使用 strongswan 构建了一个 vpn 服务器： https ://raymii.org/s/tutorials/IPSEC_vpn_with_CentOS_7.html

服务器位于转发所需端口的路由器后面。在 vpn 服务器上，有一些应用程序在 nginx 和 java 上运行，所以我使用 dnsmasq 将一些域名转发到同一台服务器。

服务器 ipsec.conf 是：

问题是当我使用 ubuntu 19.04 连接到 vpn 服务器时，/etc/ resolve.conf文件没有更新。而且我的流量没有正确路由。我需要每次手动编辑它才能使用 vpn。如果我连接或断开连接解决文件更改：

如果我手动将其更改为：

一切正常。

在 Windows 10 和 android 上（使用 strongswan 应用程序）它运行良好，无需任何修补。

这是ubuntu的问题，还是我的配置错误。我可以解决这个问题，它会自动更新吗？

我们为libcharon编写了一个插件，可以调用我们的代码。这在我们的应用程序和 strongswan 之间创建了一些不必要的耦合，因为我们正在使用这个插件编译 strongswan。

我们称这个插件为 MyPlugin。它的配置如下：

我们希望通过将此插件编译为我们应用程序的一部分，实现 strongswan 接口来扭转这种依赖关系。

问题是，strongswan 支持这个吗？插件可以部署在 strongswan 已经运行的机器上，并让 strongswan 加载并使用它吗？如何？

我们在 CentOS 6 上运行 strongswan 5.1.5。

尝试在我的项目中将开源 StrongswanVPN 项目作为库导入（StrongSwanVPN 也是 playstore 上的一个应用程序），我的应用程序与这个库一起工作正常，但我只能安装一个应用程序，无论是我的应用程序还是 strongswanVPN（来自 playstore），有包冲突问题，我无法同时安装两个应用程序。请帮帮我

我有一个 VPC 和子网。

我有一个 EC2 实例，它用作 VPC 网关，并使用路由表在 VPC 内路由所有流量。

因此，从子网到合作伙伴网络的请求正在到达网关实例。

网关实例上运行 strongswan 服务器。

但来自子网的传入请求不会转发到合作伙伴的网络。

我无法跟踪网关实例上对合作伙伴网络的任何传出请求。

请评论我。. .

我可以在全局命名空间中使用 python3-vici，假设我想通过一个特定的命名空间来路由它，比如 /var/run/x/x/vpn，我该怎么做？我在 vpn 文件夹中有 charon.ctl、charon.pid、ipsec.conf、ipsec.d、starter.charon.pid、strongswan.conf 文件，但没有 charon.vici。我尝试在命名空间中安装 vici，但在那里我没有看到 charon.vici 文件。我在这里缺少什么吗？

另一件事：我无法将使用 vici.Session().load_cert() 加载的证书与特定连接进行映射。在“本地”内的连接字典中使用“证书”属性会引发如下错误：

虽然，如果您使用 swanctl.conf 加载连接，然后使用 vici 检索信息，您可以看到在执行 list_conns() 时填充了 cert 字段。

我正在探索 Android 的IKEv2 StrongSwan客户端实现。我不明白的是，Android不Java支持原始套接字，而在IKEv2 / IPSec层下工作Transport，这似乎违反直觉。CHILD_SA在aka建立之后，通信究竟是如何发生的IPSec SA？

参考：

1. IKE Charon keying daemon的官方文档确实在架构图中提到了使用socket，但我找不到任何进一步的参考。
2. 我知道 StrongSwan 的 Android 客户端使用用户空间实现的事实libipsec，但同样如何在libipsec没有原始套接字的情况下进行通信？

非常感谢任何有助于填补我的理解空白的帮助！

我通过参考https://www.digitalocean.com/community/tutorials/how-to-set-up-an-ikev2-vpn-server-with-strongswan-on在 GCP 计算引擎（Ubuntu 20.04）上安装了 strongswan VPN -ubuntu-20-04

有 3 个不同的项目，我从 Strongswan VPN 计算引擎为所有人设置了一条隧道。

下面是 ipsec.conf 文件

IPsec 状态显示

但仍然无法访问其他项目上的 HTTP 服务器/其他 VM

所以我为内部商业 iOS 应用设置了 Strongswan VPN。VPN 以编程方式处理。在 iOS 14 测试版中，它已停止工作。这是我的 ipsec.conf：

由于它继续在 iOS 13 设备上运行，我认为这是一个错误。但是在反馈应用程序中提交问题后，他们告诉我支持的密码类型已在 iOS 14 中更新（当然完全没有记录）。在开发者论坛 ( https://developer.apple.com/forums/thread/659209 ) 上发帖终于让我了解了以下新支持的密码：

但是我将如何在我的 ipsec.conf 中实现这一点？我尝试了以下方法，但仍然无法正常工作：

我相信 ike 设置用于密钥交换，因此应该在上面支持的密码中反映“AUTH”。我下班了吗？有什么我可以阅读以更好地理解这一切的吗？