https://slinkov.ru/openforum/vsluhforumID10/5507.html Доброго времени суток уважаемые.<br>Ситуация такая мы с клиентом хотим между собой настроить ipsec туннель для передачи данных.<br>так вот они нам прислали таблицу для заполнения и вот тут у меня возникли вопросы как все это перевести в конфиг файл.<br>Таблица состоит из таких вот строк.<br><br>Details of VPN Gateway<br>Encryption Mode&#124;Site to Site Tunnel Mode &#124; Site to Site Tunnel Mode<br>Equipment Type&#124;Juniper &#124; Linux CentOS (strongSwan)<br><br>Setting of IPSEC connection<br>Phase 1<br>Authentication Method&#124;Pre-Shared Key &#124;Pre-Shared Key<br>Encryption Scheme&#124;IKE &#124;IKE<br>Diffie-Hellman Group&#124;Group 2 &#124;Group 2<br>Encryption Algorithm&#124;3DES &#124;3DES<br>Hashing Algorithm&#124;SHA1 &#124;SHA1<br>Main or Aggressive Mode&#124;Main mode &#124;Main mode<br>Lifetime (for renegotiation)&#124;86400s &#124;86400s<br>Phase 2<br>Encapsulation (ESP or AH)&#124;ESP &#124;ESP<br>Encryption Algorithm&#124;3DES &#124;3DES<br>Authentication Algorithm&#124;S https://slinkov.ru/openforum/vsluhforumID10/5507.html#9 Sun, 25 Sep 2022 01:52:04 GMT &gt; Добрый день. Подскажите пожалуйста что писать в конфиги strongswan и ipsec в <br>&gt; таком случае.<br><br>Ну, давайте посмотрим на то что у вас уже есть, чтобы не начинать с нуля, и что именно не получается.<br> https://slinkov.ru/openforum/vsluhforumID10/5507.html#8 Fri, 23 Sep 2022 13:14:12 GMT Добрый день. Подскажите пожалуйста что писать в конфиги strongswan и ipsec в таком случае.<br>Ниже требования оператора связи для создания защищённого соединения. Я пробовал различные варианты конфигов, в интернете их много. Туннель не поднимается, а время поджимает.<br>--------------------------------------------------------------------------------------<br>VPN peer gateway &#124;здесь внешний ip их Cisco <br>--------------------------------------------------------------------------------------<br>IKE Parameters (Phase 1) <br>--------------------------------------------------------------------------------------<br>IKE version &#124;Ikev2 <br>Authentication Method &#124;Preshared key <br>Key Exchange encryption &#124;AES-256 <br>Data Integrity &#124;SHA https://slinkov.ru/openforum/vsluhforumID10/5507.html#7 Thu, 25 Aug 2022 07:11:30 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет <br>&gt;&gt;&gt; под рукой примера.<br>&gt;&gt;&gt; Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.<br>&gt;&gt;&gt; Смотрите доки, типа: <br>&gt;&gt;&gt; https://kb.juniper.net/InfoCenter/index?page=content&id=KB34920&cat=JUNOS&actp=LIST <br>&gt;&gt; Добрый день. А StrongSwan сам создаст сертификат и ключи или нужно это <br>&gt;&gt; делать самостоятельно?<br>&gt; В примере, который я привёл, от оператора требуется толко PSK (pre-shared key). <br>&gt; Если для аутентикации использовать сертификаты, то да, надо их создавать самостоятельно <br>&gt; и танцевать вокруг Certification Authority.<br><br>Огромное спасибо вам за пост, очень помогла эта инфа в аналогичной ситуации.<br> https://slinkov.ru/openforum/vsluhforumID10/5507.html#6 Wed, 24 Aug 2022 14:55:47 GMT &gt;[оверквотинг удален]<br>&gt;&gt; leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks <br>&gt;&gt; right=XX.XX.XX.XX #peer side visible IP <br>&gt;&gt; rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks <br>&gt;&gt; Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет <br>&gt;&gt; под рукой примера.<br>&gt;&gt; Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.<br>&gt;&gt; Смотрите доки, типа: <br>&gt;&gt; https://kb.juniper.net/InfoCenter/index?page=content&id=KB34920&cat=JUNOS&actp=LIST <br>&gt; Добрый день. А StrongSwan сам создаст сертификат и ключи или нужно это <br>&gt; делать самостоятельно?<br><br>В примере, который я привёл, от оператора требуется толко PSK (pre-shared key).<br>Если для аутентикации использовать сертификаты, то да, надо их создавать самостоятельно и танцевать вокруг Certification Authority.<br> https://slinkov.ru/openforum/vsluhforumID10/5507.html#5 Wed, 24 Aug 2022 10:53:41 GMT &gt;[оверквотинг удален]<br>&gt;&gt; &#124;2.2.2.2 <br>&gt; left=xx.xx.xx.xx #this side real IP in the interface <br>&gt; leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks <br>&gt; right=XX.XX.XX.XX #peer side visible IP <br>&gt; rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks <br>&gt; Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет <br>&gt; под рукой примера.<br>&gt; Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.<br>&gt; Смотрите доки, типа: <br>&gt; https://kb.juniper.net/InfoCenter/index?page=content&id=KB34920&cat=JUNOS&actp=LIST <br><br>Добрый день. А StrongSwan сам создаст сертификат и ключи или нужно это делать самостоятельно?<br> https://slinkov.ru/openforum/vsluhforumID10/5507.html#4 Thu, 07 Nov 2019 02:34:03 GMT &gt;&gt; Спасибо большое что помог хоть чуть чуть разобраться теперь после соединения у <br>&gt;&gt; меня возникла такая проблема пока обе стороны пинги не отправят пинги <br>&gt;&gt; не идут т.е через какое то время они уходит в сон <br>&gt;&gt; что ли не понятно почему так.<br>&gt; Рекомендую хороший бубен, а также смотреть логи и статусы очень внимательно с <br>&gt; обоих сторон. Причины могут быть весьма разнообразными.<br><br>Понял )<br> https://slinkov.ru/openforum/vsluhforumID10/5507.html#3 Wed, 06 Nov 2019 22:08:18 GMT <br>&gt; Спасибо большое что помог хоть чуть чуть разобраться теперь после соединения у <br>&gt; меня возникла такая проблема пока обе стороны пинги не отправят пинги <br>&gt; не идут т.е через какое то время они уходит в сон <br>&gt; что ли не понятно почему так.<br><br>Рекомендую хороший бубен, а также смотреть логи и статусы очень внимательно с обоих сторон. Причины могут быть весьма разнообразными.<br><br> https://slinkov.ru/openforum/vsluhforumID10/5507.html#2 Wed, 06 Nov 2019 19:16:19 GMT &gt;[оверквотинг удален]<br>&gt;&gt; &#124;2.2.2.2 <br>&gt; left=xx.xx.xx.xx #this side real IP in the interface <br>&gt; leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks <br>&gt; right=XX.XX.XX.XX #peer side visible IP <br>&gt; rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks <br>&gt; Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет <br>&gt; под рукой примера.<br>&gt; Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.<br>&gt; Смотрите доки, типа: <br>&gt; https://kb.juniper.net/InfoCenter/index?page=content&id=KB34920&cat=JUNOS&actp=LIST <br><br>Спасибо большое что помог хоть чуть чуть разобраться теперь после соединения у меня возникла такая проблема пока обе стороны пинги не отправят пинги не идут т.е через какое то время они уходит в сон что ли не понятно почему так.<br> https://slinkov.ru/openforum/vsluhforumID10/5507.html#1 Mon, 04 Nov 2019 18:04:57 GMT &gt; Доброго времени суток уважаемые.<br>&gt; Ситуация такая мы с клиентом хотим между собой настроить ipsec туннель для <br>&gt; передачи данных.<br>&gt; так вот они нам прислали таблицу для заполнения и вот тут у <br>&gt; меня возникли вопросы как все это перевести в конфиг файл.<br>&gt; Таблица состоит из таких вот строк.<br><br>Я, в своё время, много тыкался и подбирал параметры почти на ощупь, читая доки, туториалы и примеры (с тех пор ещё нежнее полюбил OpenVPN и Tinc), постепенно пришёл к прототипу, который проходится чуточку подтачивать работая с разными peerами. Мой кейс это всегда net-to-net, не peer-to-net.<br><br>Получается примерно так:<br><br>&gt; Encryption Mode &#124;Site to Site Tunnel Mode &#124; Site to <br>&gt; Site Tunnel Mode<br><br>type=tunnel<br><br>&gt; Setting of IPSEC connection <br>&gt; Phase 1 <br>&gt; Authentication Method &#124;Pre-Shared Key &#124;Pre-Shared Key<br><br>authby=secret<br><br>&gt; Encryption Scheme &#124;IKE &#124;IKE <br><br>keyexchange=ike<br><br>&gt; Diffie-Hellman Group &#124;Group 2 &#124;Group 2 <br>&gt; Encryption Algorithm &#124;3DES &#124;3D