ike認證
比如說一家公司有一個分公司,互相之間想建立網路,如果用電纜直接連接,代價回太高,而且政府答也不允許。於是兩邊都接入當地的互聯網,通過互聯網建立一個虛擬的連接,數據打好包傳到另一邊再解開,對於兩端的計算機來說和區域網一樣,完全感覺不出另一台機器在外地,這就是VPN。
㈡ ipsec Ike 野蠻模式有無身份驗證
肯定有 只是野蠻模式是對於兩端IP地址不是固定的情況(如ADSL撥號上網),並且內雙方都希容望採用預共享密鑰驗證方法來創建IKE SA,就需要採用野蠻模式。另外如果發起者已知回應者的策略,採用野蠻模式也能夠更快地創建IKE SA。
身份認證肯定是有的
㈢ 如何查看ipsec/l2tpd 伺服器的證書認證模式
什麼是 IPsec?
IPsec 是 虛擬私密網路(VPN) 的一種,用於在伺服器和客戶端之間建立加密隧道並傳輸敏感數據之用。它由兩個階段組成,第一階段(Phrase 1, ph1),交換金鑰建立連接,使用互聯網金鑰交換(ike)協議; 第二階段(Phrase 2, ph2),連接建立後對數據進行加密傳輸,使用封裝安全載荷(esp)協議。參考:維基網路 IPsec 詞條。
其中,第一階段和第二階段可以使用不同的加密方法(cipher suites)。甚至,第一階段 ike 協議的第一版(ikev1)有兩種模式,主力模式(main mode)和積極模式(aggressive mode),主力模式進行六次加密握手,而積極模式並不加密,以實現快速建立連接的目的。
第一階段的 ike 協議有兩個版本(ikev1/ikev2),不同的開源/閉源軟體實現的版本均不同,不同的設備實現的版本也不同。再聯繫到第一階段/第二階段使用的各種不同加密方法,使得 IPsec 的配置有點黑魔法的性質,要麼完全懂,通吃; 要麼完全不懂,照抄。
設備/操作系統規格
這里主要介紹了設備/操作系統使用的 ike 版本及其特殊要求。
Linux
命令行客戶端就是 strongswan 本身,因此完美兼容,支持 ikev1/ikev2 和所有加密方法的連接。因此如果用戶只使用 Linux 命令行客戶端,不使用各種移動設備也不使用 Windows,那麼完全沒有那麼多事。
但 Linux 的圖形界面客戶端 NetworkManager-strongswan 目前只支持 ikev2 連接,必須使用證書或 EAP (各種加密方法都支持,包括微軟的 MSCHAPv2)進行認證,不支持純密碼(PSK)認證。這並不是 strongswan 的錯誤,或者技術不行(開源總是走在技術最前沿的,畢竟命令行是支持的),而僅僅是體現一種選擇:ikev1 被 strongswan 項目認為是該淘汰的協議,而 PSK 加密被認為是非常不安全的。參考 strongswan 維基 NetworkManager 詞條。
Android
Android 和 Linux 不一樣,只支持 ikev1。其它方面和 Linux 一樣,甚至有好多種 IPsec VPN 配置模式可供選擇。
iOS/Mac OS X
它們聲明使用的 IPsec 客戶端為 Cisco,實際為自己修改的 racoon。它只支持 ike 協議的第一版即 ikev1,可以使用證書或純密碼(PSK)認證,但必須輔之 xauth 用戶名/密碼認證。
該修改版的 racoon 會優先使用不加密的積極模式,而積極模式是 strongSwan 所不支持的。所以要使用主力模式。
iOS 6 還有一個「銜尾」故障:它在第一階段握手時會把數據包拆分成小塊(fragmentation),然後「加密」發送。然而這種加密僅僅是聲明的,其實並未加密,這就導致 strongSwan 及其它標准伺服器端/Cisco 設備無法解密。另外 ikev1 的 fragmentation 插件是閉源的。開源伺服器端無法對這些小塊進行重組。參考:Cisco VPN stop working after upgrading to IOS 6