两个远程主机之间的 IPsec 隧道

Question

首先声明：手动设置加密密钥非常适合演示目的，但IKE守护进程坚强的天鹅会做得更好，并且配置起来也不会更困难。

您在问题中使用的命令暗示：

您只设置了一个方向的加密（M1 -> M2）。使用 WireShark 看到的 ESP 数据包是从 M1 发出并进入 M2 的数据包。对 ping 的回复是未加密的，
你只使用加密而没有身份验证，因此你无法检测你的数据包是否在传输过程中被修改（例如截断），
你用运输模式，因此您可以使用加密通道将数据包从 M1 发送到 M2，但不能再发送。
你可能总是使用spi1。这是随每个 ESP 数据包发送的数字，允许内核区分加密通道。

所以如果你想建立一个双向加密通道，你需要生成一个spi以及两个方向的加密密钥：

host1="2001:0:0:1c::2"
host2="2001:0:0:1c::1"
key12=0x$(xxd -c 32 -l 32 -ps /dev/random)
key21=0x$(xxd -c 32 -l 32 -ps /dev/random)
spi12=0x$(xxd -c 4 -l 4 -ps /dev/random)
spi21=0x$(xxd -c 4 -l 4 -ps /dev/random)

然后您需要在两台主机上安装加密密钥：

ip xfrm state add src $host1 dst $host2 proto esp spi $spi12 enc 'cbc(aes)' $key12 mode transport
ip xfrm state add src $host2 dst $host1 proto esp spi $spi21 enc 'cbc(aes)' $key21 mode transport

安装密钥后，您可以添加策略，这样 Linux 就会开始加密数据。主机之间的说明有所不同（显然），因为说明在和出去有所不同。在 M1 上，您需要使用：

ip xfrm policy add dir out src $host1 dst $host2 tmpl proto esp mode transport
ip xfrm policy add dir in src $host2 dst $host1 tmpl proto esp mode transport

在 M2 上：

ip xfrm policy add dir in src $host1 dst $host2 tmpl proto esp mode transport
ip xfrm policy add dir out src $host2 dst $host1 tmpl proto esp mode transport

现在内核将开始加密传出数据包并丢弃未加密的传入数据包。

如果不起作用，请检查防火墙是否允许 ESP 通过。

附言：你可以找到更完整的解决方案在waldner 的博客。

Answer 1