在Ubuntu 18.04/16.04 LTS上安装Libreswan的方法

本文介绍在Ubuntu 18.04/16.04 LTS服务器上安装Libreswan的方法，采用源代码安装方式。

简介

Libreswan是Linux系统的Internet密钥交换（IKE）实现，它支持IKEv1和IKEv2以及与IPsec相关的其他扩展（RFC+IETF drafts），包括IKEv2、X.509数字证书、NAT Traversal等等。

Libreswan是从Openswan 2.6.38分叉的，它默认使用本机Linux IPsec stack（NETKEY/XFRM）。

一、更新系统和安装构建依赖项

1、请先更新系统

确保你使用的是最新的Ubuntu版本：

sudo apt -y update && sudo apt -y upgrade

sudo reboot

注：此命令支持Ubuntu 18.04/16.04 LTS，系统启动后，请继续下面的操作。

2、安装构建依赖项

Libreswan需要从源代码编译一些软件包，通过运行以下命令在Ubuntu系统上安装它们：

sudo apt install libnss3-dev libnspr4-dev pkg-config libpam-dev \

 libcap-ng-dev libcap-ng-utils libselinux-dev \

 libcurl3-nss-dev flex bison gcc make libldns-dev \

 libunbound-dev libnss3-tools libevent-dev xmlto \

 libsystemd-dev git devscripts build-essential fakeroot libsystemd-dev

参考：Linux中apt与apt-get命令的区别与解释。

二、下载Libreswan源代码

因为我们将从源代码构建Libreswan以确保我们使用最新版本，从Github克隆项目，地址是https://github.com/libreswan/libreswan/releases：

SWAN_VER=3.29

swan_file="libreswan-$SWAN_VER.tar.gz"

swan_url1="https://github.com/libreswan/libreswan/archive/v$SWAN_VER.tar.gz"

swan_url2="https://download.libreswan.org/$swan_file"

if ! { wget -t 3 -T 30 -nv -O "$swan_file" "$swan_url1" || wget -t 3 -T 30 -nv -O "$swan_file" "$swan_url2"; }; then

exit 1

fi

下载文件后，将其解压缩：

tar xzf "$swan_file" && /bin/rm -f "$swan_file"

三、在Ubuntu上构建和安装Libreswan

我们现在可以在Ubuntu上构建和安装Libreswan，首先更改为libreswan目录：

cd "libreswan-$SWAN_VER" || exit 1

创建构建选项文件：

cat > Makefile.inc.local <<'EOF'

WERROR_CFLAGS =

USE_DNSSEC = false

USE_DH31 = false

USE_NSS_AVA_COPY = true

USE_NSS_IPSEC_PROFILE = false

USE_GLIBC_KERN_FLIP_HEADERS = true

EOF

最后建立Libreswan：

NPROCS=$(grep -c ^processor /proc/cpuinfo)

[ -z "$NPROCS" ] && NPROCS=1

make "-j$((NPROCS+1))" -s base && make -s install-base

应该输出成功的构建信息，如下：

running: systemctl --system daemon-reload

running: systemd-tmpfiles --create /usr/lib/tmpfiles.d/libreswan.conf

DESTDIR=''

****************** WARNING ******************

The ipsec service is currently disabled. To enable this service issue:

systemctl enable ipsec.service

../../OBJ.linux.x86_64/testing/enumcheck/enumcheck -> /usr/local/libexec/ipsec/enumcheck

../../OBJ.linux.x86_64/testing/ipcheck/ipcheck -> /usr/local/libexec/ipsec/ipcheck

../../OBJ.linux.x86_64/testing/fmtcheck/fmtcheck -> /usr/local/libexec/ipsec/fmtcheck

../../OBJ.linux.x86_64/testing/timecheck/timecheck -> /usr/local/libexec/ipsec/timecheck

如果安装成功，应该能够检查版本，运行：

/usr/local/sbin/ipsec --version

四、启动并启用Libreswan ipsec服务

ipsec服务目前已禁用，要启用此服务：

sudo systemctl enable --now ipsec.service

验证服务状态：

$ systemctl status ipsec.service

至此，Libreswan ipsec服务已开启成功。

相关主题

Ubuntu/CentOS/Debian上使用L2TP和Cisco IPsec设置IPSec VPN的方法