- Strongswan настройка конфигурации по таблице.,
 Licha Morada, 21:04 , 04-Ноя-19 (1) +1 > Доброго времени суток уважаемые.
> Ситуация такая мы с клиентом хотим между собой настроить ipsec туннель для
> передачи данных.
> так вот они нам прислали таблицу для заполнения и вот тут у
> меня возникли вопросы как все это перевести в конфиг файл.
> Таблица состоит из таких вот строк.Я, в своё время, много тыкался и подбирал параметры почти на ощупь, читая доки, туториалы и примеры (с тех пор ещё нежнее полюбил OpenVPN и Tinc), постепенно пришёл к прототипу, который проходится чуточку подтачивать работая с разными peerами. Мой кейс это всегда net-to-net, не peer-to-net. Получается примерно так: > Encryption Mode |Site to Site Tunnel Mode | Site to
> Site Tunnel Mode type=tunnel > Setting of IPSEC connection
> Phase 1
> Authentication Method |Pre-Shared Key |Pre-Shared Key authby=secret > Encryption Scheme |IKE |IKE keyexchange=ike > Diffie-Hellman Group |Group 2 |Group 2
> Encryption Algorithm |3DES |3DES
> Hashing Algorithm |SHA1 |SHA1 ike=3des-sha1-modp1024 > Main or Aggressive Mode |Main mode |Main mode aggressive = no #default > Lifetime (for renegotiation) |86400s |86400s ikelifetime=24h > Phase 2
> Encapsulation (ESP or AH) |ESP |ESP
> Encryption Algorithm |3DES |3DES
> Authentication Algorithm |SHA1 |SHA1
> Perfect Forward Secrecy |Group 2 |Group 2 esp=3des-sha1-modp1024 > Lifetime (for renegotiation) |3600s |3600s
> Lifesize in KB |0 |0 Возможно, lifebytes = <number> и lifetime = <time> > Tunnel Configuration
> Local IP address |192.168.120.150 |192.168.0.5
> Peer IP address |1.1.1.1
> |2.2.2.2 left=xx.xx.xx.xx #this side real IP in the interface
leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks right=XX.XX.XX.XX #peer side visible IP
rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет под рукой примера. Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
Смотрите доки, типа:
https://kb.juniper.net/InfoCenter/index?page=content&id=KB34...
- Strongswan настройка конфигурации по таблице., ITX, 22:16 , 06-Ноя-19 (2)
>[оверквотинг удален]
>> |2.2.2.2
> left=xx.xx.xx.xx #this side real IP in the interface
> leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks
> right=XX.XX.XX.XX #peer side visible IP
> rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks
> Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет
> под рукой примера.
> Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
> Смотрите доки, типа:
> https://kb.juniper.net/InfoCenter/index?page=content&id=KB34... Спасибо большое что помог хоть чуть чуть разобраться теперь после соединения у меня возникла такая проблема пока обе стороны пинги не отправят пинги не идут т.е через какое то время они уходит в сон что ли не понятно почему так.
- Strongswan настройка конфигурации по таблице., Licha Morada, 01:08 , 07-Ноя-19 (3)
> Спасибо большое что помог хоть чуть чуть разобраться теперь после соединения у
> меня возникла такая проблема пока обе стороны пинги не отправят пинги
> не идут т.е через какое то время они уходит в сон
> что ли не понятно почему так.Рекомендую хороший бубен, а также смотреть логи и статусы очень внимательно с обоих сторон. Причины могут быть весьма разнообразными.
- Strongswan настройка конфигурации по таблице., ITX, 05:34 , 07-Ноя-19 (4)
>> Спасибо большое что помог хоть чуть чуть разобраться теперь после соединения у
>> меня возникла такая проблема пока обе стороны пинги не отправят пинги
>> не идут т.е через какое то время они уходит в сон
>> что ли не понятно почему так.
> Рекомендую хороший бубен, а также смотреть логи и статусы очень внимательно с
> обоих сторон. Причины могут быть весьма разнообразными.Понял )
- Strongswan настройка конфигурации по таблице., the_mask, 13:53 , 24-Авг-22 (5)
>[оверквотинг удален]
>> |2.2.2.2
> left=xx.xx.xx.xx #this side real IP in the interface
> leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks
> right=XX.XX.XX.XX #peer side visible IP
> rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks
> Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет
> под рукой примера.
> Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
> Смотрите доки, типа:
> https://kb.juniper.net/InfoCenter/index?page=content&id=KB34... Добрый день. А StrongSwan сам создаст сертификат и ключи или нужно это делать самостоятельно?
- Strongswan настройка конфигурации по таблице., Licha Morada, 17:55 , 24-Авг-22 (6)
>[оверквотинг удален]
>> leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks
>> right=XX.XX.XX.XX #peer side visible IP
>> rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks
>> Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет
>> под рукой примера.
>> Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
>> Смотрите доки, типа:
>> https://kb.juniper.net/InfoCenter/index?page=content&id=KB34...
> Добрый день. А StrongSwan сам создаст сертификат и ключи или нужно это
> делать самостоятельно?В примере, который я привёл, от оператора требуется толко PSK (pre-shared key).
Если для аутентикации использовать сертификаты, то да, надо их создавать самостоятельно и танцевать вокруг Certification Authority.
- Strongswan настройка конфигурации по таблице., the_mask, 10:11 , 25-Авг-22 (7)
>[оверквотинг удален]
>>> Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет
>>> под рукой примера.
>>> Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
>>> Смотрите доки, типа:
>>> https://kb.juniper.net/InfoCenter/index?page=content&id=KB34...
>> Добрый день. А StrongSwan сам создаст сертификат и ключи или нужно это
>> делать самостоятельно?
> В примере, который я привёл, от оператора требуется толко PSK (pre-shared key).
> Если для аутентикации использовать сертификаты, то да, надо их создавать самостоятельно
> и танцевать вокруг Certification Authority.Огромное спасибо вам за пост, очень помогла эта инфа в аналогичной ситуации.
- Strongswan настройка конфигурации по таблице., the_mask, 16:14 , 23-Сен-22 (8)
Добрый день. Подскажите пожалуйста что писать в конфиги strongswan и ipsec в таком случае.
Ниже требования оператора связи для создания защищённого соединения. Я пробовал различные варианты конфигов, в интернете их много. Туннель не поднимается, а время поджимает.
--------------------------------------------------------------------------------------
VPN peer gateway | здесь внешний ip их Cisco
--------------------------------------------------------------------------------------
IKE Parameters (Phase 1)
--------------------------------------------------------------------------------------
IKE version | Ikev2
Authentication Method | Preshared key
Key Exchange encryption | AES-256
Data Integrity | SHA
Diffie-Hellman Group (phase 1) | Group 14
Timer IKE phase 1 | 86400
pseudo-random function (prf) | sha256 sha
Type | Main mode
--------------------------------------------------------------------------------------
IPSec SA Parameters (Phase 2)
--------------------------------------------------------------------------------------
UDP encapsulation | Yes
Protocol | ESP
IPSEC | AES-256
Data Integrity | AES-256
Diffie-Hellman Group | PFS Group 14
Transform-set | esp-aes-256 esp-sha-hmac (AES256-SHA)
Timer IKE phase 2 | 3600
Traffic Initiator | V
Encryption Domain | Тут три ip из пула внутренней сети оператора
--------------------------------------------------------------------------------------
- Strongswan настройка конфигурации по таблице., Licha Morada, 04:52 , 25-Сен-22 (9)
> Добрый день. Подскажите пожалуйста что писать в конфиги strongswan и ipsec в
> таком случае.Ну, давайте посмотрим на то что у вас уже есть, чтобы не начинать с нуля, и что именно не получается.
|
Версия для распечатки
Strongswan настройка конфигурации по таблице., 
