Strongswan persistente Verbindung

808
code farmer

Ich möchte eine dauerhafte Verbindung zwischen einem Linux-Strongswan-Client und einem Cisco-Router herstellen. Dies bedeutet, dass der IPSec-Tunnel für immer in Betrieb ist.

Ist es möglich? In meiner aktuellen Konfiguration wird der Tunnel nach Ablauf der voraussichtlichen Zeit heruntergefahren, dann muss ich ihn manuell aufrufen.

Hier ist meine starke Konfiguration:

config setup uniqueids=never  conn %default keyexchange=ikev1 type=tunnel left=%any auto=add dpdaction=clear margintime=0s rekeyfuzz=20% conn cisco-ezvpn right=10.0.1.1 left=10.0.1.2 leftid=19 leftsourceip=%config right=10.0.1.1 rightsubnet=0.0.0.0/0 xauth_identity=test leftauth2=xauth xauth=client aggressive=yes leftauth=psk rightauth=psk ikelifetime=300s lifetime=300s ike=aes256-sha256-ecp256 esp=aes256-sha256

Folgendes ist meine IOS-Konfiguration (ipsec-Teil):

crypto isakmp policy 1 encr aes 256 hash sha256 authentication pre-share group 19 lifetime 300 ! crypto isakmp key test address 10.0.1.2  crypto isakmp keepalive 10 ! crypto isakmp client configuration group RA key test domain test.com pool POOL acl split save-password netmask 255.255.255.0 ! crypto isakmp client configuration group 19 key test123 domain test.com pool POOL acl split save-password netmask 255.255.255.0 crypto isakmp profile test match identity group RA match identity group 19 client authentication list AUTH isakmp authorization list NET client configuration address respond client configuration group 19 virtual-template 1 ! ! crypto ipsec transform-set test esp-aes 256 esp-sha256-hmac  mode tunnel ! crypto ipsec profile ipsecprof set security-association lifetime kilobytes disable set transform-set test  !  !  crypto map cmap 10 ipsec-isakmp  set peer 10.0.1.2 set transform-set test  match address split ! ! interface Virtual-Template1 type tunnel ip unnumbered Vlan10 ip nat inside ip virtual-reassembly in tunnel source Vlan10 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsecprof ! interface Vlan10 ip address 10.0.1.1 255.255.255.248 ip helper-address 10.0.1.1 ip nat inside ip virtual-reassembly in
0
Können Sie einfach den Parameter "lifetime" entfernen? Beachten Sie, dass Sie für "ikelifetime" und "lifetime" den gleichen Wert eingestellt haben. Es kann daher schwierig sein, zu wissen, was Sie umbringt. Ich habe etwas Ähnliches für einen Nicht-Cisco-Router eingerichtet und habe dieses Problem nicht. Ich bin mir sicher, dass du es irgendwie schaffen kannst. Brick vor 7 Jahren 0
Ich entfernte die Lebensdauer und die Wahrscheinlichkeit, die maximale IKE_SA-Einstellung wurde automatisch auf 10800 eingestellt, aber die Verbindung brach nach 5 Minuten immer noch zusammen, da der Cisco-Zähler die Lebensdauer auf 5 Minuten festlegte. code farmer vor 7 Jahren 0
Es scheint also, als hätten Sie das Problem auf der StrongSwan-Seite behoben und haben nun ein Problem in Ihrer Cisco-Konfiguration. Meine Erfahrung war, dass ich zwischen der Konfiguration an meinem Router und der Konfiguration in StrongSwan mehrmals hin und her gehen musste, um die Einstellungen gegenseitig kompatibel zu machen. Wenn Sie Ihre Frage bearbeiten und die Konfiguration von Cisco anzeigen möchten, kann möglicherweise jemand weitere Hilfe leisten. Brick vor 7 Jahren 0
Ich habe IOS Teil hinzugefügt code farmer vor 7 Jahren 0
@codefarmer hast du das jemals gelöst? Ich habe ein ähnliches Problem, bei dem die Verbindung meines Clients alle 5 Minuten unterbrochen wird (Ubuntu), während Kollegen unter Mac OS für immer glücklich miteinander verbunden bleiben. Vincenzo Pii vor 7 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme