Strongswan, как настроить ipsec сайт-сайт с помощью psk?

1448
Fred joe

Я устанавливаю ipsec-соединение VPN типа «сеть-сеть» (с использованием метода аутентификации с предварительным общим ключом). Однако я не уверен в правильности значений, которые нужно поместить в ipsec.conf.

  1. ip сервера vpn - xx.45.40.46
  2. алгоритм шифрования - AES-256
  3. Алгоритм хеширования - SHA
  4. Аутентификация - PSK
  5. DH Group - 2

Когда я запускаю «ipsec start», а затем «ipsec status aws-to-otherplace», он просто говорит «CONNECTING навсегда»:

Security Associations (0 up, 1 connecting): aws-to-otherplace[1]: CONNECTING, 192.168.65.3[%any]...xx.45.40.46[%any]

Мой ipsec.conf содержит следующее. Как мне настроить это так, чтобы оно соответствовало начальным спецификациям, перечисленным выше? Спасибо

config setup conn %default ikelifetime=60m keylife=20m rekeymargin=3m keyingtries=1 keyexchange=ikev1 authby=secret   conn aws-to-otherplace authby=secret left=%defaultroute leftid=xx.178.35.176 leftsubnet=10.10.27.1/24 right=xx.45.40.46 rightsubnet=10.9.141.1/24 ike=aes-sha1-modp1024 esp=aes256-sha1 keyingtries=0 ikelifetime=1h lifetime=8h dpddelay=30 dpdtimeout=120 dpdaction=restart auto=start

ipsec.secrets

xx.178.35.176 xx.45.40.46 : PSK "xxxxxxxxxxxxx"

начать вывод: https://pastebin.com/raw/zTdJbWJd

1
И что содержит ваш файл журнала strongSwan? Он должен точно сказать вам, где рукопожатие не удалось. Возможно, ваши предложения или даже тайм-ауты не совпадают с другой стороной (IKEv1 очень-очень разборчив), возможно, левый / правый не соответствует тому, что ожидают другие, возможно, strongSwan не может найти PSK в `ipsec.secrets` ... grawity 6 лет назад 0
Я думаю, что файл секретов правильный. добавил, что + вывод пастбина на ссылку на оригинал Fred joe 6 лет назад 0
У вас есть доступ к журналам другой стороны? (Возможно, он ожидает IKEv2, или имеет совершенно неправильный IP-адрес, или ...) grawity 6 лет назад 0
этот конкретный сайт уже подключен (какая-то компания настроила его для нашего офиса, теперь я перевожу его на AWS). на скриншоте, который мне присылают, написано «IKEv1 IPSec». маловероятно, что я могу получить журналы с другого конца, его управляет ужасная компания в Индии Fred joe 6 лет назад 0
Ах, тогда я бы снова предположил, что вы подключаетесь с совершенно неправильного IP-адреса. То есть, я подозреваю, что "другой конец" имеет конфигурацию conn с _ вашим текущим офисным IP-адресом_ в качестве адреса узла. grawity 6 лет назад 0
@ Grawity Я думаю, ты прав. придется отключить офис я думаю потом попробую еще раз. Спасибо Fred joe 6 лет назад 0

0 ответов на вопрос

Похожие вопросы