​

持续创作，加速成长！这是我参与「掘金日新计划 · 6 月更文挑战」的第3天

目的：梳理ipsec如何解析配置文件，支持并添加多个保护子网

​编辑

一、 流程梳理

启动ipsec服务时会自动解析/etc/ipsec.conf文件,因此从启动ipsec服务开始分析。

​编辑

其中/etc/init.d/ipsec文件是一个shell脚本：

​编辑

打开此shell脚本，发现启动时执行的函数是start()

​编辑

eval命令将会首先扫描命令行进行所有的替换，然后再执行命令。该命令使用于那些一次扫描无法实现其功能的变量。该命令对变量进行两次扫描。这些需要进行两次扫描的变量有时候被称为复杂变量

因此与加载配置文件有关的命令是：ipsec addconn

其中ipsec命令信息如下：

​编辑

同样是一个shell脚本。

ipsec脚本核心部分是：

​编辑

这部分执行的命令格式如下所示：

​编辑

将此命令重新输出到日志文件/home/ipsec.log中，方便查看调用的命令信息：

​编辑

这里可以看到它使用的addconn命令解析配置文件并添加配置信息。

因此，我们需要查看学习addconn它的原理，查看文件类型可知，它是一个可执行文件。

​编辑

源码中的位置如下：openswan-latest\openswan-2.6.51.5\programs\addconn\addconn.c

​编辑

直接执行此命令，结果没有添加上隧道，重新尝试进行添加，后来终于添加成功了

二、 addconn.c实现原理

addconn可能用到的参数：

static struct option const longopts[] =

{

{"config", required_argument, NULL, 'C'},

{"defaultroute", required_argument, NULL, 'd'},

{"defaultroutenexthop", required_argument, NULL, 'n'},

{"debug", no_argument, NULL, 'D'},

{"verbose", no_argument, NULL, 'D'},

{"warningsfatal", no_argument, NULL, 'W'},

{"addall", no_argument, NULL, 'a'},

{"listroute", no_argument, NULL, 'r'},

{"liststart", no_argument, NULL, 's'},

{"varprefix", required_argument, NULL, 'P'},

{"ctlbase" , required_argument, NULL, 'c' },

{"search", no_argument, NULL, 'S'},

{"rootdir", required_argument, NULL, 'R'},

{"configsetup", no_argument, NULL, 'T'},

{"checkconfig", no_argument, NULL, 'K'},

{"help", no_argument, NULL, 'h'},

{0, 0, 0, 0}

};

将ipsec服务启动过程中调用的命令保存到文件ipsec.log，然后查看与addconn相关的命令有如下几种：

​编辑

挂上GDB学习下：

​编辑

删除隧道重新加载配置文件：

​编辑

查询状态信息：

​编辑

添加隧道：

​编辑

​编辑

再次挂上GDB,直接使用以下命令添加隧道配置：

/usr/local/libexec/ipsec/addconn --defaultroute 192.168.1.13 --defaultroutenexthop 192.168.1.1 --addall --config /etc/ipsec.d/ipsec_vpn.conf3

​编辑

运行后，停止在starter_permutate_conns函数中，打印conn信息如下：

​编辑

​编辑

​编辑

starter_permutate_conns

根据添加的whack消息格式，修改配置文件，将隧道名字分别改为Tunnel-4/1x0, Tunnel-4/2x0,然后分别加载这两个配置：

​编辑

添加后的结果如下：

​编辑

但是无法删除两个连接，因此在pluto中可能认为这是两个不同的连接。so****不是简单的通过隧道名字来实现多个保护子网的。

​编辑

使用相同的隧道名添加两条隧道，发现会将第一次添加的隧道删除。因此也不是使用相同的隧道名添加多保护子网的。

​编辑

​编辑

​编辑

但是属于不同的连接：

​编辑

正确的结果应该是：

​编辑

​编辑

​编辑

​编辑

​编辑

前两张图是正常的配置文件中多个保护子网是的whack msg消息：可以看出隧道名称分别有wm->name和wm->connalias两个名称，其中connalias是主隧道名称，而name则是多保护子网的子隧道名称。

因此尝试在配置文件中添加connalias字段(我也不知道有没有)

​编辑

分别修改这两个配置文件、并加载配置：

​编辑

三、 pluto中多保护子网实现(逆向分析)

在使用whack命令查询状态时可以看到有连接相关信息：

/usr/local/libexec/ipsec/whack --status

​编辑

显示时连接的名字是经过快排(qsort)的,因此显示很整齐。而快排的比较标准是：隧道名**+**实例序号

​编辑

从这里可以知道多保护子网实际上是同一个连接的多个实例化而已。

​编辑

从这里可以

​编辑

算了，pluto中的代码分析放弃了。

​