Вопросы Теги

Не удается установить vpn-соединение между узлами между Cisco 3900 и клиентом strongSwan

У меня есть веб-сайт, на котором отображаются данные, полученные от модемов GSM. Итак, я пытаюсь подключить свой веб-сайт к провайдеру сети GSM с помощью vpn.

На стороне провайдера есть Cisco 3900, настроенный как сервер vpn между сайтами, а на моей стороне у меня установлена ​​strongswan на debian linux и настроена как клиент.

Я использую это руководство для настройки клиента http://www.cisco.com/c/en/us/support/docs/ip/internet-key-exchange-ike/117258-config-l2l.html

На стороне провайдера сети GSM выглядит так:

  • Версия оборудования VPN: Cisco 3900
  • Модули VPN: DES + 3DES + AES
  • IP-адрес шлюза VPN: "VpnGatewayIP"
  • Хосты, использующие VPN: 10.248.64.0/20[1236 sizesTunnel Информация

    Фаза 1 (IKE)

    • Метод аутентификации: Общий ключ
    • Схема шифрования: IKE
    • Идеальная прямая секретность - IKE: DH Group-5
    • Алгоритм шифрования: AES256
    • Хеширование Алгоритм: SHA1
    • Повторное согласование IKE SA каждые: 86400 секунд

    Фаза 2 (IPSEC)

    • IPSec: ESP
    • Perfect Forward Secrecy-IPSEC: DH Group-5
    • Алгоритм шифрования IPSec: AES256
    • Алгоритм хеширования IPSec: SHA1
    • Повторное согласование IPSec SA каждые: 3600 секунд
    • Агрессивный режим:НЕ ИСПОЛЬЗУЕТСЯ

    Это содержимое моего файла конфигурации /etc/ipsec.conf

    config setup
        strictcrlpolicy=no
        charondebug="ike 1, knl 2, cfg 0"

conn %default
     ikelifetime=1440m
     keylife=60m
     rekeymargin=3m
     keyingtries=1
     keyexchange=ikev1
     authby=secret

conn "providerVPN"
     left=MyServerIP
     leftsubnet=MyServerIP/32
     leftid=MyServerIP
     leftfirewall=yes
     right=VpnGatewayIP
     rightsubnet=10.248.64.0/20
     rightid=VpnGatewayIP
     auto=add
     ike=aes256-sha1-modp1536
     esp=aes256-sha1

    и файл PSK /etc/ipsec.secrets 

    MyServerIP VpnGatewayIP : PSK someSecretKey

    , запускающий клиент, подобный этому 

    /etc/init.d/ipsec start

    , после этого ifconfig не отображает никаких новых соединений, а «статус ipsec» дает мне вывод 

    Security Associations (0 up, 0 connecting):
  none

    Там это журнал из /var/log/daemon.log[1256ptingЛюбое предположение, что не так с моими настройками?

1
задан 6 September 2016 в 19:37
1 ответ

Наконец, я нашел решение своей проблемы, это была только проблема конфигурации.

вместо auto = add должно быть auto = start и esp = aes256-sha1 должен быть esp = aes256-sha1-modp1536

Я также добавил параметры db, но для работы это необязательно. Если вы измените только эти два параметра, он будет работать.

Окончательная рабочая конфигурация будет такой. 

# ipsec.conf - strongSwan IPsec configuration file                                                                                                                             

# basic configuration                                                                                                                                                           

config setup
    charondebug="ike 4, knl 4, cfg 4, net 4, esp 4, dmn 4,  mgr 4"
        #uniqueids = no                                                                                                                                                         

conn %default
    ikelifetime=1440m
    keylife=60m
    rekeymargin=3m
    keyingtries=1
    mobike=no
    keyexchange=ikev1
    dpdaction=clear
    dpddelay=200s

conn "providerVPN"
    type=tunnel
    auto=start
    aggressive=no
    esp=aes256-sha1-modp1536
    ike=aes256-sha1-modp1536

    right=VpnGatewayIP
    rightsubnet=10.248.64.0/20
    rightid=VpnGatewayIP
    rightauth=psk

    left=MyServerIP
    leftsubnet=MyServerIP/32
    leftid=MyServerIP
    leftauth=psk

    dpddelay=30s
    dpdaction=hold
    dpdtimeout=120s
    ikelifetime=86400s
    lifetime=86400s
1
ответ дан 3 December 2019 в 23:41

Теги

Похожие вопросы