前段时间,我们发布了基于strongSwan的IPsec VPN管理系统(),当时的功能测试主要是基于两台部署了该管理系统的Ubuntu主机之间进行测试,同时测试了跟H3C设备之间的对接。
俗话说,好事多磨,上个版本我们虽然解决了显性问题,但潜藏的隐性bug却像地雷阵一样,排雷过程可谓惊心动魄!我以为只剩下证书认证不支持了,实际上有多少问题呢?这么说吧,为了支持证书认证,我在上个版本之后又改了22个版本!
所以,基于strongSwan的IPsec VPN管理系统,终究还是配置太复杂了,不能像openVPN管理系统一样高频更新()。
现在,终于能把最新版本的IPsec VPN管理系统拿出来给大家亮个相了!
首先,部署方式更新,支持覆盖旧版本安装,解决了之前需要重装系统,或者覆盖安装时功能更新不全的问题。
登录页面保持了一贯的风格。
登录后的页面也没有变化,依旧是IPsec连接列表和系统信息,包含strongSwan版本信息、监听接口和支持的算法信息。
接下来,我们使用两台部署了该管理系统的Ubuntu主机,简单演示一下使用方法和具体功能。
首先是最简单的配置,只需要填写连接名称、本端IP地址、对端IP地址和预共享密钥即可。
从配置页面可以看到,我们优化了布局风格,新版本不用再拉到页面底部就能提交配置或返回列表了。
同样的,我们再配置另一台Ubuntu主机。
这样简单地几个点击操作,无需流量触发,我们就完成了两台主机之间IPsec VPN的协商。
接下来,我们试一下用证书进行认证。这里就用到我们的第一代openVPN证书管理系统了。
我们需要获取服务器的根CA证书,还有客户端的证书文件和私钥文件。
单击【修改】按钮编辑IPsec连接配置,将认证方式修改为【证书】。
然后,按照提示,分别上传根CA证书、本端证书文件和本端私钥文件。
注意,使用证书认证时,本端ID和对端ID都要与证书中的ID信息相匹配,我们这里也做了提取证书ID的功能,可以同时配置两端IPsec连接,保证对端ID配置正确。
当然,证书认证对证书的有效期也有严格要求,我们也做了校验证书有效期的操作,如果证书已过期,则会展示如下:
提交之后,秒级触发协商。
然后,我们调整一下算法配置。
先调整为不加密的AH协议,测试一下传输性能。
显示传输数据量为1.33 GB,看一下监控数据。
这里的流量应该是IPsec封装之后的数据流量,取自底层数据。
再将安全协议换成AH-ESP,加密算法和认证算法都换成最高强度。
令人惊喜的是,切换至高强度加密后性能不降反升!这好比给赛车换上重装甲,速度反而更快,咋回事?
检查IPsec状态,发现只应用了AH封装,没有应用ESP加密算法。
了解了一下,strongSwan在同时配置ah_proposals和esp_proposals时,因为strongSwan的swanctl配置格式无法实现真正的AH-ESP bundle,也就是无法同时使用AH和ESP,从而导致会尝试协商AH和ESP其中的一个。在本场景中,就是协商成了AH安全协议。
按照strongSwan官方文档,同时使用AH和ESP是比较少见的需求,通常用于特殊的安全合规要求,一般仅使用ESP即可。
既然如此,那我们调整安全协议为ESP就好了。
再次测试传输性能。
平均能达到400 Mbps,最高有518 Mbps,性能还是很强劲的!
如果按照统计信息来看,IPsec封装引入的开销大约为3.6%,还是很低的。
总结一下,目前系统的AH+ESP组合还不太好使,需要进一步确认是否是strongSwan的版本问题,我感觉是版本问题的可能性大。
不过,当前的部署方式比较人性化,可以直接通过APT命令安装,如果换成其他方式,部署效果可能会打折扣。
***
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...