Cisco3900とstrongSwanクライアント間のサイト間VPN接続を確立できません
Gsmモデムから受信したデータを表示するWebサイトがあります。だから私はvpnを使用して私のウェブサイトをGSMネットワークプロバイダーに接続しようとしています。
プロバイダー側にはCisco3900があり、サイト間VPNサーバーとして構成されています。私の側では、strongswanがdebian linuxにインストールされ、クライアントとして構成されています。
このガイドをクライアント設定に使用しています http://www.Cisco.com/c/en/us/support/docs/ip/internet-key-exchange-ike/117258-config-l2l.html
GSMネットワークプロバイダー側の構成は次のようになります。
- VPN機器バージョン:Cisco 3900
- VPNモジュール:DES + 3DES + AES
- VPNゲートウェイIP:「VpnGatewayIP」
- VPNを使用するホスト:10.248.64.0/20
トンネル情報
フェーズ1(IKE)
- 認証方法:事前共有キー
- 暗号化スキーマ:IKE
- Perfect Forward Secrecy- IKE:DH Group-5
- 暗号化アルゴリズム:AES256
- ハッシュアルゴリズム:SHA1
- IKEの再ネゴシエーションSAごと:86400秒
フェーズ2(IPSEC)
- IPSec:ESP
- Perfect Forward Secrecy-IPSEC:DH Group-5
- 暗号化アルゴリズムIPSec:AES256
- ハッシュアルゴリズムIPSec:SHA1
- IPSecの再ネゴシエーションSAごと:3600秒
- アグレッシブモード:使用されていません
これは私の設定ファイル/etc/ipsec.confの内容です
config setup
strictcrlpolicy=no
charondebug="ike 1, knl 2, cfg 0"
conn %default
ikelifetime=1440m
keylife=60m
rekeymargin=3m
keyingtries=1
keyexchange=ikev1
authby=secret
conn "providerVPN"
left=MyServerIP
leftsubnet=MyServerIP/32
leftid=MyServerIP
leftfirewall=yes
right=VpnGatewayIP
rightsubnet=10.248.64.0/20
rightid=VpnGatewayIP
auto=add
ike=aes256-sha1-modp1536
esp=aes256-sha1
およびPSKファイル/etc/ipsec.secrets
MyServerIP VpnGatewayIP : PSK someSecretKey
このような開始クライアント
/etc/init.d/ipsec start
この後、ifconfigは新しい接続を表示せず、「ipsecstatus」は出力を表示します
Security Associations (0 up, 0 connecting):
none
/ var/log/daemon.logからログがあります
Sep 6 17:54:12 gmapfish ipsec[1221]: ipsec starter stopped
Sep 6 17:54:15 gmapfish ipsec[1320]: Starting strongSwan 5.2.1 IPsec [starter]...
Sep 6 17:54:15 gmapfish charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.2.1, Linux 3.16.0-4-686-pae, i686)
Sep 6 17:54:15 gmapfish charon: 00[KNL] known interfaces and IP addresses:
Sep 6 17:54:15 gmapfish charon: 00[KNL] lo
Sep 6 17:54:15 gmapfish charon: 00[KNL] 127.0.0.1
Sep 6 17:54:15 gmapfish charon: 00[KNL] ::1
Sep 6 17:54:15 gmapfish charon: 00[KNL] eth0
Sep 6 17:54:15 gmapfish charon: 00[KNL] "MyServerIP"
Sep 6 17:54:15 gmapfish charon: 00[KNL] 10.19.0.5
Sep 6 17:54:15 gmapfish charon: 00[KNL] df80::501:a8ef:ef9f:a321
Sep 6 17:54:15 gmapfish charon: 00[LIB] loaded plugins: charon aes rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm attr kernel-netlink resolve socket-default stroke updown
Sep 6 17:54:15 gmapfish charon: 00[LIB] unable to load 3 plugin features (3 due to unmet dependencies)
Sep 6 17:54:15 gmapfish charon: 00[LIB] dropped capabilities, running as uid 0, gid 0
Sep 6 17:54:15 gmapfish charon: 00[JOB] spawning 16 worker threads
Sep 6 17:54:15 gmapfish charon: 07[KNL] "VpnGatewayIP" is not a local address or the interface is down
Sep 6 17:54:15 gmapfish ipsec[1320]: charon (1348) started after 60 ms
私の設定の何が問題になっているのか提案はありますか?
ついに私は自分の問題の解決策を見つけました、それは構成の問題だけでした。
auto = addの代わりにauto = startが必要であり、esp = aes256-sha1がesp = aes256-sha1- modp1536
Dbパラメーターも追加しましたが、作業用にはオプションです。この2つのパラメーターだけを変更すると、機能します。
最終的な作業構成は次のようになります。
# ipsec.conf - strongSwan IPsec configuration file
# basic configuration
config setup
charondebug="ike 4, knl 4, cfg 4, net 4, esp 4, dmn 4, mgr 4"
#uniqueids = no
conn %default
ikelifetime=1440m
keylife=60m
rekeymargin=3m
keyingtries=1
mobike=no
keyexchange=ikev1
dpdaction=clear
dpddelay=200s
conn "providerVPN"
type=tunnel
auto=start
aggressive=no
esp=aes256-sha1-modp1536
ike=aes256-sha1-modp1536
right=VpnGatewayIP
rightsubnet=10.248.64.0/20
rightid=VpnGatewayIP
rightauth=psk
left=MyServerIP
leftsubnet=MyServerIP/32
leftid=MyServerIP
leftauth=psk
dpddelay=30s
dpdaction=hold
dpdtimeout=120s
ikelifetime=86400s
lifetime=86400s