6.6. 手动配置带有基于证书身份验证的 IPsec 网状 VPN

流程

1. 如果 Libreswan 尚未安装，请执行以下步骤：

   1. 安装 libreswan 软件包：

      # dnf install libreswan

      Copy to Clipboard Toggle word wrap

   2. 初始化网络安全服务(NSS)数据库：

      # ipsec initnss

      Copy to Clipboard Toggle word wrap

      命令在 /var/lib/ipsec/nss/ 目录下创建数据库。

   3. 启用并启动 ipsec 服务：

      # systemctl enable --now ipsec

      Copy to Clipboard Toggle word wrap

   4. 在防火墙中打开 IPsec 端口和协议：

      # firewall-cmd --permanent --add-service="ipsec"
      # firewall-cmd --reload

      Copy to Clipboard Toggle word wrap

2. 将 PKCS #12 文件导入到 NSS 数据库中：

   # ipsec import <file>.p12
   Enter password for PKCS12 file: <password>
   pk12util: PKCS12 IMPORT SUCCESSFUL
   correcting trust bits for Example-CA

   Copy to Clipboard Toggle word wrap

3. 显示服务器和 CA 证书的昵称：

   # certutil -L -d /var/lib/ipsec/nss/
   Certificate Nickname     Trust Attributes
                            SSL,S/MIME,JAR/XPI
   
   server1                  u,u,u
   Example-CA               CT,,
   ...

   Copy to Clipboard Toggle word wrap

   您需要将此信息用于配置文件。

4. 在 /etc/ipsec.d/ 目录中为连接创建一个 .conf 文件。例如，创建带有以下设置的 /etc/ipsec.d/mesh.conf 文件：

   1. 添加 config setup 部分，以启用 CRL 检查：

      config setup
          crl-strict=yes
          crlcheckinterval=1h

      Copy to Clipboard Toggle word wrap

      示例中指定的设置包括：

      crl-strict=yes

      启用 CRL 检查。如果 NSS 数据库中没有 CRL，则验证对等点将被拒绝。

      crlcheckinterval=1h

      在指定的时间段后，从服务器证书中指定的 URL 重新获取 CRL。

   2. 添加一个在网格中的成员之间强制流量的部分：

      conn <connection_name>
          # General setup and authentication type
          auto=ondemand
          authby=rsasig
      
          # Local settings settings
          left=%defaultroute
          leftid=%fromcert
          leftcert="<server_certificate_nickname>"
          leftrsasigkey=%cert
          leftsendcert=always
          failureshunt=drop
          type=transport
      
          # Settings related to other peers in the mesh
          right=%opportunisticgroup
          rightid=%fromcert

      Copy to Clipboard Toggle word wrap

      示例中指定的设置包括：

      left=%defaultroute

      当 ipsec 服务启动时，动态设置默认路由接口的 IP 地址。或者，您可以将 left 参数设置为 IP 地址或主机的 FQDN。

      leftid=%fromcert 和 rightid=%fromcert

      将 Libreswan 配置为从证书的可分辨名称(DN)字段检索身份。

      leftcert="<server_certificate_nickname>"

      设置 NSS 数据库中使用的服务器证书的昵称。

      leftrsasigkey=%cert

      将 Libreswan 配置为使用嵌入在证书中的 RSA 公钥。

      leftsendcert=always

      指示对等点始终发送证书，以便对等点可以针对 CA 证书验证它。

      failureshunt=drop

      如果 IPsec 协商失败，强制实施加密并丢弃流量。这对于安全网格至关重要。

      right=%opportunisticgroup

      指定连接应应用到策略文件中定义的动态远程对等点组。这使 Libreswan 能够对该组中每个列出的 IP 或子网实例化 IPsec 隧道。

   有关示例中使用的所有参数的详情，请查看您系统上的 ipsec.conf (5) 手册页。

5. 创建 /etc/ipsec.d/policies/server-mesh 策略文件，该文件以无类别域间路由(CIDR)格式指定对等点或子网：

   192.0.2.0/24
   198.51.100.0/24

   Copy to Clipboard Toggle word wrap

   使用这些设置，ipsec 服务会加密这些子网中主机之间的流量。如果主机没有配置为 IPsec 网格的成员，则此主机和网格成员之间的通信会失败。

6. 重启 ipsec 服务：

   # systemctl restart ipsec

   Copy to Clipboard Toggle word wrap
7. 对您在策略文件中指定的子网中的每个主机重复这个过程。

验证

1. 将流量发送到网格中的主机来建立隧道。例如，ping 主机：

   # ping -c3 <peer_in_mesh>

   Copy to Clipboard Toggle word wrap

2. 显示 IPsec 状态：

   # ipsec status

   Copy to Clipboard Toggle word wrap

   如果连接成功建立了，输出会包含对等点的以下行：

   • 互联网密钥交换版本 2 (IKEv2)协商的阶段 1 已成功完成：

     #1: "<connection_name>#192.0.2.0/24"[1] ...192.0.2.2:500 ESTABLISHED_IKE_SA (established IKE SA); REKEY in 12822s; REPLACE in 13875s; newest; idle;

     Copy to Clipboard Toggle word wrap

     安全联盟(SA)现在已准备好协商实际的数据加密隧道，称为子 SA 或阶段 2 SA。

   • 一个子 SA 已建立：

     #2: "<connection_name>#192.0.2.0/24"[1] ...192.0.2.2:500 ESTABLISHED_CHILD_SA (established Child SA); REKEY in 13071s; REPLACE in 13875s; newest; eroute owner; IKE SA #1; idle;

     Copy to Clipboard Toggle word wrap

     这是您的数据流量通过的实际隧道。

3. 检查服务是否已载入 CRL ，并将条目添加到 NSS 数据库中：

   # ipsec listcrls
   
   List of CRLs:
   
   issuer: CN=Example-CA
   revoked certs: 1
   updates: this Tue Jul 15 10:22:36 2025
            next Sun Jan 11 10:22:36 2026
   
   List of CRL fetch requests:
   
   Jul 15 15:13:56 2025, trials: 1
          issuer:  'CN=Example-CA'
          distPts: 'https://ca.example.com/crl.pem'

   Copy to Clipboard Toggle word wrap