Strongswan, wie konfiguriere ich ipsec site-to-site mit psk?

1504
Fred joe

Ich stelle die ipsec-Site-to-Site-VPN-Verbindung ein (mit Pre-Shared-Key-Authentifizierungsmethode). Ich bin mir jedoch nicht sicher, welche Werte in der ipsec.conf eingetragen werden sollen.

  1. vpn server ip - xx.45.40.46
  2. Verschlüsselungsalgorithmus - AES-256
  3. Hash-Algorithmus - SHA
  4. Authentifizierung - PSK
  5. DH-Gruppe - 2

Wenn ich "ipsec start" und dann "ipsec status aws-to-otherplace" starte, heißt es für immer VERBINDEN:

Security Associations (0 up, 1 connecting): aws-to-otherplace[1]: CONNECTING, 192.168.65.3[%any]...xx.45.40.46[%any]

Meine ipsec.conf enthält Folgendes. Wie kann ich dies so konfigurieren, dass es mit den oben aufgeführten Anfangsdaten übereinstimmt? Vielen Dank

config setup conn %default ikelifetime=60m keylife=20m rekeymargin=3m keyingtries=1 keyexchange=ikev1 authby=secret   conn aws-to-otherplace authby=secret left=%defaultroute leftid=xx.178.35.176 leftsubnet=10.10.27.1/24 right=xx.45.40.46 rightsubnet=10.9.141.1/24 ike=aes-sha1-modp1024 esp=aes256-sha1 keyingtries=0 ikelifetime=1h lifetime=8h dpddelay=30 dpdtimeout=120 dpdaction=restart auto=start

ipsec.secrets

xx.178.35.176 xx.45.40.46 : PSK "xxxxxxxxxxxxx"

Starten Sie die Ausgabe: https://pastebin.com/raw/zTdJbWJd

1
Und was enthält Ihre strongSwan-Protokolldatei? Es sollte Ihnen genau sagen, wo der Handshake fehlgeschlagen ist. Vielleicht stimmen Ihre Vorschläge oder sogar die Zeitüberschreitung nicht mit der anderen Seite überein (IKEv1 ist sehr wählerisch), möglicherweise stimmt die linke / rechte ID nicht mit dem überein, was die anderen erwarten, vielleicht kann strongSwan die PSK nicht in "ipsec.secrets" finden ... grawity vor 6 Jahren 0
Ich denke, die Geheimnisse-Datei ist korrekt. fügte hinzu, dass der Link + output pastebin dem orig post hinzugefügt wurde Fred joe vor 6 Jahren 0
Haben Sie Zugriff auf die Protokolle der anderen Seite? (Vielleicht erwartet es IKEv2 oder hat die völlig falsche IP-Adresse oder ...) grawity vor 6 Jahren 0
Diese bestimmte Site-to-Site ist bereits miteinander verbunden (einige Firmen haben sie für unser Büro eingerichtet, jetzt in AWS). Der Screenshot, den sie mir schicken, sagt "IKEv1 IPSec" darauf. Es ist unwahrscheinlich, dass ich Protokolle vom anderen Ende bekommen kann, die von einer schrecklichen Firma in Indien betrieben werden Fred joe vor 6 Jahren 0
Ah, dann würde ich mal vermuten, dass Sie von der völlig falschen IP-Adresse aus eine Verbindung herstellen. Das heißt, ich vermute, das "andere Ende" hat eine Konfig-Konfiguration mit _Ihre aktuellen Büro-IP-Adresse_ als Peer-Adresse. grawity vor 6 Jahren 0
@Grawity Ich glaube du hast recht. Ich muss das Büro trennen, denke ich, dann versuche es erneut. Vielen Dank Fred joe vor 6 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme