web-dev-qa-db-ja.com

Cisco3900とstrongSwanクライアント間のサイト間VPN接続を確立できません

Gsmモデムから受信したデータを表示するWebサイトがあります。だから私はvpnを使用して私のウェブサイトをGSMネットワークプロバイダーに接続しようとしています。

プロバイダー側​​にはCisco3900があり、サイト間VPNサーバーとして構成されています。私の側では、strongswanがdebian linuxにインストールされ、クライアントとして構成されています。

このガイドをクライアント設定に使用しています http://www.Cisco.com/c/en/us/support/docs/ip/internet-key-exchange-ike/117258-config-l2l.html

GSMネットワークプロバイダー側​​の構成は次のようになります。

  • VPN機器バージョン:Cisco 3900
  • VPNモジュール:DES + 3DES + AES
  • VPNゲートウェイIP:「VpnGatewayIP」
  • VPNを使用するホスト:10.248.64.0/20

トンネル情報

フェーズ1(IKE)

  • 認証方法:事前共有キー
  • 暗号化スキーマ:IKE
  • Perfect Forward Secrecy- IKE:DH Group-5
  • 暗号化アルゴリズム:AES256
  • ハッシュアルゴリズム:SHA1
  • IKEの再ネゴシエーションSAごと:86400秒

フェーズ2(IPSEC)

  • IPSec:ESP
  • Perfect Forward Secrecy-IPSEC:DH Group-5
  • 暗号化アルゴリズムIPSec:AES256
  • ハッシュアルゴリズムIPSec:SHA1
  • IPSecの再ネゴシエーションSAごと:3600秒
  • アグレッシブモード:使用されていません

これは私の設定ファイル/etc/ipsec.confの内容です

config setup
        strictcrlpolicy=no
        charondebug="ike 1, knl 2, cfg 0"

conn %default
     ikelifetime=1440m
     keylife=60m
     rekeymargin=3m
     keyingtries=1
     keyexchange=ikev1
     authby=secret

conn "providerVPN"
     left=MyServerIP
     leftsubnet=MyServerIP/32
     leftid=MyServerIP
     leftfirewall=yes
     right=VpnGatewayIP
     rightsubnet=10.248.64.0/20
     rightid=VpnGatewayIP
     auto=add
     ike=aes256-sha1-modp1536
     esp=aes256-sha1

およびPSKファイル/etc/ipsec.secrets

MyServerIP VpnGatewayIP : PSK someSecretKey

このような開始クライアント

/etc/init.d/ipsec start

この後、ifconfigは新しい接続を表示せず、「ipsecstatus」は出力を表示します

Security Associations (0 up, 0 connecting):
  none

/ var/log/daemon.logからログがあります

Sep  6 17:54:12 gmapfish ipsec[1221]: ipsec starter stopped
Sep  6 17:54:15 gmapfish ipsec[1320]: Starting strongSwan 5.2.1 IPsec [starter]...
Sep  6 17:54:15 gmapfish charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.2.1, Linux 3.16.0-4-686-pae, i686)
Sep  6 17:54:15 gmapfish charon: 00[KNL] known interfaces and IP addresses:
Sep  6 17:54:15 gmapfish charon: 00[KNL]   lo
Sep  6 17:54:15 gmapfish charon: 00[KNL]     127.0.0.1
Sep  6 17:54:15 gmapfish charon: 00[KNL]     ::1
Sep  6 17:54:15 gmapfish charon: 00[KNL]   eth0
Sep  6 17:54:15 gmapfish charon: 00[KNL]     "MyServerIP"
Sep  6 17:54:15 gmapfish charon: 00[KNL]     10.19.0.5
Sep  6 17:54:15 gmapfish charon: 00[KNL]     df80::501:a8ef:ef9f:a321
Sep  6 17:54:15 gmapfish charon: 00[LIB] loaded plugins: charon aes rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm attr kernel-netlink resolve socket-default stroke updown
Sep  6 17:54:15 gmapfish charon: 00[LIB] unable to load 3 plugin features (3 due to unmet dependencies)
Sep  6 17:54:15 gmapfish charon: 00[LIB] dropped capabilities, running as uid 0, gid 0
Sep  6 17:54:15 gmapfish charon: 00[JOB] spawning 16 worker threads
Sep  6 17:54:15 gmapfish charon: 07[KNL] "VpnGatewayIP" is not a local address or the interface is down
Sep  6 17:54:15 gmapfish ipsec[1320]: charon (1348) started after 60 ms

私の設定の何が問題になっているのか提案はありますか?

1
iss_628

ついに私は自分の問題の解決策を見つけました、それは構成の問題だけでした。

auto = addの代わりにauto = startが必要であり、esp = aes256-sha1esp = aes256-sha1- modp1536

Dbパラメーターも追加しましたが、作業用にはオプションです。この2つのパラメーターだけを変更すると、機能します。

最終的な作業構成は次のようになります。

# ipsec.conf - strongSwan IPsec configuration file                                                                                                                             

# basic configuration                                                                                                                                                           

config setup
    charondebug="ike 4, knl 4, cfg 4, net 4, esp 4, dmn 4,  mgr 4"
        #uniqueids = no                                                                                                                                                         

conn %default
    ikelifetime=1440m
    keylife=60m
    rekeymargin=3m
    keyingtries=1
    mobike=no
    keyexchange=ikev1
    dpdaction=clear
    dpddelay=200s

conn "providerVPN"
    type=tunnel
    auto=start
    aggressive=no
    esp=aes256-sha1-modp1536
    ike=aes256-sha1-modp1536

    right=VpnGatewayIP
    rightsubnet=10.248.64.0/20
    rightid=VpnGatewayIP
    rightauth=psk

    left=MyServerIP
    leftsubnet=MyServerIP/32
    leftid=MyServerIP
    leftauth=psk

    dpddelay=30s
    dpdaction=hold
    dpdtimeout=120s
    ikelifetime=86400s
    lifetime=86400s
1
iss_628