У меня есть веб-сайт, на котором отображаются данные, полученные от модемов GSM. Итак, я пытаюсь подключить свой веб-сайт к провайдеру сети GSM с помощью vpn.
На стороне провайдера есть Cisco 3900, настроенный как сервер vpn между сайтами, а на моей стороне у меня установлена strongswan на debian linux и настроена как клиент.
Я использую это руководство для настройки клиента http://www.cisco.com/c/en/us/support/docs/ip/internet-key-exchange-ike/117258-config-l2l.html
Фаза 1 (IKE)
Фаза 2 (IPSEC)
Это содержимое моего файла конфигурации /etc/ipsec.conf
config setup
strictcrlpolicy=no
charondebug="ike 1, knl 2, cfg 0"
conn %default
ikelifetime=1440m
keylife=60m
rekeymargin=3m
keyingtries=1
keyexchange=ikev1
authby=secret
conn "providerVPN"
left=MyServerIP
leftsubnet=MyServerIP/32
leftid=MyServerIP
leftfirewall=yes
right=VpnGatewayIP
rightsubnet=10.248.64.0/20
rightid=VpnGatewayIP
auto=add
ike=aes256-sha1-modp1536
esp=aes256-sha1
и файл PSK /etc/ipsec.secrets
MyServerIP VpnGatewayIP : PSK someSecretKey
, запускающий клиент, подобный этому
/etc/init.d/ipsec start
, после этого ifconfig не отображает никаких новых соединений, а «статус ipsec» дает мне вывод
Security Associations (0 up, 0 connecting):
none
Там это журнал из /var/log/daemon.log[1256ptingЛюбое предположение, что не так с моими настройками?
Наконец, я нашел решение своей проблемы, это была только проблема конфигурации.
вместо auto = add должно быть auto = start и esp = aes256-sha1 должен быть esp = aes256-sha1-modp1536
Я также добавил параметры db, но для работы это необязательно. Если вы измените только эти два параметра, он будет работать.
Окончательная рабочая конфигурация будет такой.
# ipsec.conf - strongSwan IPsec configuration file
# basic configuration
config setup
charondebug="ike 4, knl 4, cfg 4, net 4, esp 4, dmn 4, mgr 4"
#uniqueids = no
conn %default
ikelifetime=1440m
keylife=60m
rekeymargin=3m
keyingtries=1
mobike=no
keyexchange=ikev1
dpdaction=clear
dpddelay=200s
conn "providerVPN"
type=tunnel
auto=start
aggressive=no
esp=aes256-sha1-modp1536
ike=aes256-sha1-modp1536
right=VpnGatewayIP
rightsubnet=10.248.64.0/20
rightid=VpnGatewayIP
rightauth=psk
left=MyServerIP
leftsubnet=MyServerIP/32
leftid=MyServerIP
leftauth=psk
dpddelay=30s
dpdaction=hold
dpdtimeout=120s
ikelifetime=86400s
lifetime=86400s