Стронгсван постоянная связь

Question

Стронгсван постоянная связь

832

code farmer 2017-01-18 в 14:11

Я хочу установить постоянное соединение между клиентом linux strongswan и маршрутизатором cisco, что означает, что туннель ipsec будет работать вечно?

Является ли это возможным? В моей текущей конфигурации туннель отключится после того, как он достигнет ikelifetime, тогда мне нужно вручную запустить его.

Вот моя конфигурация strongswan:

config setup uniqueids=never  conn %default keyexchange=ikev1 type=tunnel left=%any auto=add dpdaction=clear margintime=0s rekeyfuzz=20% conn cisco-ezvpn right=10.0.1.1 left=10.0.1.2 leftid=19 leftsourceip=%config right=10.0.1.1 rightsubnet=0.0.0.0/0 xauth_identity=test leftauth2=xauth xauth=client aggressive=yes leftauth=psk rightauth=psk ikelifetime=300s lifetime=300s ike=aes256-sha256-ecp256 esp=aes256-sha256

Вот моя конфигурация IOS (часть ipsec):

crypto isakmp policy 1 encr aes 256 hash sha256 authentication pre-share group 19 lifetime 300 ! crypto isakmp key test address 10.0.1.2  crypto isakmp keepalive 10 ! crypto isakmp client configuration group RA key test domain test.com pool POOL acl split save-password netmask 255.255.255.0 ! crypto isakmp client configuration group 19 key test123 domain test.com pool POOL acl split save-password netmask 255.255.255.0 crypto isakmp profile test match identity group RA match identity group 19 client authentication list AUTH isakmp authorization list NET client configuration address respond client configuration group 19 virtual-template 1 ! ! crypto ipsec transform-set test esp-aes 256 esp-sha256-hmac  mode tunnel ! crypto ipsec profile ipsecprof set security-association lifetime kilobytes disable set transform-set test  !  !  crypto map cmap 10 ipsec-isakmp  set peer 10.0.1.2 set transform-set test  match address split ! ! interface Virtual-Template1 type tunnel ip unnumbered Vlan10 ip nat inside ip virtual-reassembly in tunnel source Vlan10 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsecprof ! interface Vlan10 ip address 10.0.1.1 255.255.255.248 ip helper-address 10.0.1.1 ip nat inside ip virtual-reassembly in

0

Can you just remove the `lifetime` parameter? Note that you have both `ikelifetime` and `lifetime` set to the same value, so it might be hard to know which is killing you. I have something similar set up for a non-Cisco router and don't have this problem. I'm sure you can make it work somehow. Brick 7 лет назад 0

Я удалил время жизни и время жизни, максимальное значение IKE_SA было автоматически настроено на 10800 с, но через 5 минут соединение все еще разрывалось, потому что маршрутизатор cisco установил время жизни на 5 минут. code farmer 7 лет назад 0

Похоже, что вы решили проблему со стороны StrongSwan, и теперь у вас есть проблема в конфигурации Cisco. Мой опыт заключался в том, что мне приходилось несколько раз переходить от конфигурации на моем маршрутизаторе к конфигурации в StrongSwan, чтобы обеспечить взаимную совместимость настроек. Если вы хотите отредактировать свой вопрос и показать конфигурацию от Cisco, возможно, кто-то может предоставить дополнительную помощь. Brick 7 лет назад 0

Я добавил часть IOS code farmer 7 лет назад 0

@codefarmer ты когда-нибудь решал это? У меня есть похожая проблема, когда соединение с моим клиентом прерывается каждые 5 минут (Ubuntu), в то время как коллеги в Mac OS остаются на связи всегда. Vincenzo Pii 7 лет назад 0

Стронгсван постоянная связь

0 ответов на вопрос

Похожие вопросы