Strongswan, как настроить ipsec сайт-сайт с помощью psk?
1448
Fred joe
Я устанавливаю ipsec-соединение VPN типа «сеть-сеть» (с использованием метода аутентификации с предварительным общим ключом). Однако я не уверен в правильности значений, которые нужно поместить в ipsec.conf.
- ip сервера vpn - xx.45.40.46
- алгоритм шифрования - AES-256
- Алгоритм хеширования - SHA
- Аутентификация - PSK
- DH Group - 2
Когда я запускаю «ipsec start», а затем «ipsec status aws-to-otherplace», он просто говорит «CONNECTING навсегда»:
Security Associations (0 up, 1 connecting): aws-to-otherplace[1]: CONNECTING, 192.168.65.3[%any]...xx.45.40.46[%any]
Мой ipsec.conf содержит следующее. Как мне настроить это так, чтобы оно соответствовало начальным спецификациям, перечисленным выше? Спасибо
config setup conn %default ikelifetime=60m keylife=20m rekeymargin=3m keyingtries=1 keyexchange=ikev1 authby=secret conn aws-to-otherplace authby=secret left=%defaultroute leftid=xx.178.35.176 leftsubnet=10.10.27.1/24 right=xx.45.40.46 rightsubnet=10.9.141.1/24 ike=aes-sha1-modp1024 esp=aes256-sha1 keyingtries=0 ikelifetime=1h lifetime=8h dpddelay=30 dpdtimeout=120 dpdaction=restart auto=start
ipsec.secrets
xx.178.35.176 xx.45.40.46 : PSK "xxxxxxxxxxxxx"
начать вывод: https://pastebin.com/raw/zTdJbWJd
И что содержит ваш файл журнала strongSwan? Он должен точно сказать вам, где рукопожатие не удалось. Возможно, ваши предложения или даже тайм-ауты не совпадают с другой стороной (IKEv1 очень-очень разборчив), возможно, левый / правый не соответствует тому, что ожидают другие, возможно, strongSwan не может найти PSK в `ipsec.secrets` ...
grawity 6 лет назад
0
Я думаю, что файл секретов правильный. добавил, что + вывод пастбина на ссылку на оригинал
Fred joe 6 лет назад
0
У вас есть доступ к журналам другой стороны? (Возможно, он ожидает IKEv2, или имеет совершенно неправильный IP-адрес, или ...)
grawity 6 лет назад
0
этот конкретный сайт уже подключен (какая-то компания настроила его для нашего офиса, теперь я перевожу его на AWS). на скриншоте, который мне присылают, написано «IKEv1 IPSec». маловероятно, что я могу получить журналы с другого конца, его управляет ужасная компания в Индии
Fred joe 6 лет назад
0
Ах, тогда я бы снова предположил, что вы подключаетесь с совершенно неправильного IP-адреса. То есть, я подозреваю, что "другой конец" имеет конфигурацию conn с _ вашим текущим офисным IP-адресом_ в качестве адреса узла.
grawity 6 лет назад
0
@ Grawity Я думаю, ты прав. придется отключить офис я думаю потом попробую еще раз. Спасибо
Fred joe 6 лет назад
0
0 ответов на вопрос
Похожие вопросы
-
2
Windows 7 Home Premium запоминает пароли общего доступа к сети?
-
5
Поделитесь XP сетевым подключением без перезагрузки?
-
5
Как мне сказать Windows использовать 802.11 вместо 3G?
-
-
4
Есть ли способ поделиться сканером многофункционального принтера?
-
5
64-битная ОС и программное обеспечение VPN
-
3
Есть ли способ соединить два компьютера через USB?
-
3
Как сохранить несколько подключений к интернету?
-
4
iPod-Touch для воспроизведения фильмов с ПК на PS3?
-
2
Mac не присоединится к рабочей группе Windows
-
1
Как я могу повысить безопасность своего портала?