The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Strongswan настройка конфигурации по таблице."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (VPN, IPSec / Linux)
Изначальное сообщение [ Отслеживать ]

"Strongswan настройка конфигурации по таблице."  +/
Сообщение от ITXemail (ok), 04-Ноя-19, 16:33 
Доброго времени суток уважаемые.
Ситуация такая мы с клиентом хотим между собой настроить ipsec туннель для передачи данных.
так вот они нам прислали таблицу для заполнения и вот тут у меня возникли вопросы как все это перевести в конфиг файл.
Таблица состоит из таких вот строк.

Details of VPN Gateway        
Encryption Mode            |Site to Site Tunnel Mode | Site to Site Tunnel Mode
Equipment Type            |Juniper               | Linux CentOS (strongSwan)
        
Setting of IPSEC connection        
Phase 1        
Authentication Method        |Pre-Shared Key     |Pre-Shared Key
Encryption Scheme        |IKE         |IKE
Diffie-Hellman Group        |Group 2     |Group 2
Encryption Algorithm        |3DES         |3DES
Hashing Algorithm        |SHA1         |SHA1
Main or Aggressive Mode        |Main mode     |Main mode
Lifetime (for renegotiation)    |86400s         |86400s
Phase 2        
Encapsulation (ESP or AH)    |ESP         |ESP
Encryption Algorithm        |3DES         |3DES
Authentication Algorithm    |SHA1         |SHA1
Perfect Forward Secrecy        |Group 2     |Group 2
Lifetime (for renegotiation)    |3600s         |3600s
Lifesize in KB             |0         |0
        
Tunnel Configuration        
Local IP address |192.168.120.150 |192.168.0.5
Peer IP address     |1.1.1.1         |2.2.2.2

буду очень благодарен за помощь.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Strongswan настройка конфигурации по таблице."  +1 +/
Сообщение от Licha Morada (ok), 04-Ноя-19, 21:04 
> Доброго времени суток уважаемые.
> Ситуация такая мы с клиентом хотим между собой настроить ipsec туннель для
> передачи данных.
> так вот они нам прислали таблицу для заполнения и вот тут у
> меня возникли вопросы как все это перевести в конфиг файл.
> Таблица состоит из таких вот строк.

Я, в своё время, много тыкался и подбирал параметры почти на ощупь, читая доки, туториалы и примеры (с тех пор ещё нежнее полюбил OpenVPN и Tinc), постепенно пришёл к прототипу, который проходится чуточку подтачивать работая с разными peerами. Мой кейс это всегда net-to-net, не peer-to-net.

Получается примерно так:

> Encryption Mode   |Site to Site Tunnel Mode | Site to
> Site Tunnel Mode

type=tunnel

> Setting of IPSEC connection
> Phase 1
> Authentication Method  |Pre-Shared Key  |Pre-Shared Key

authby=secret

> Encryption Scheme  |IKE   |IKE

keyexchange=ike

> Diffie-Hellman Group  |Group 2  |Group 2
> Encryption Algorithm  |3DES   |3DES
> Hashing Algorithm  |SHA1   |SHA1

ike=3des-sha1-modp1024

> Main or Aggressive Mode  |Main mode  |Main mode

aggressive = no #default

> Lifetime (for renegotiation) |86400s   |86400s

ikelifetime=24h

> Phase 2
> Encapsulation (ESP or AH) |ESP   |ESP
> Encryption Algorithm  |3DES   |3DES
> Authentication Algorithm |SHA1   |SHA1
> Perfect Forward Secrecy  |Group 2  |Group 2

esp=3des-sha1-modp1024

> Lifetime (for renegotiation) |3600s   |3600s
> Lifesize in KB    |0   |0

Возможно, lifebytes = <number> и lifetime = <time>

> Tunnel Configuration
> Local IP address |192.168.120.150 |192.168.0.5
> Peer IP address  |1.1.1.1        
>  |2.2.2.2

left=xx.xx.xx.xx #this side real IP in the interface
leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks

right=XX.XX.XX.XX #peer side visible IP
rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks

Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет под рукой примера.

Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
Смотрите доки, типа:
https://kb.juniper.net/InfoCenter/index?page=content&id=KB34...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Strongswan настройка конфигурации по таблице."  +/
Сообщение от ITXemail (ok), 06-Ноя-19, 22:16 
>[оверквотинг удален]
>>  |2.2.2.2
> left=xx.xx.xx.xx #this side real IP in the interface
> leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks
> right=XX.XX.XX.XX #peer side visible IP
> rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks
> Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет
> под рукой примера.
> Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
> Смотрите доки, типа:
> https://kb.juniper.net/InfoCenter/index?page=content&id=KB34...

Спасибо большое что помог хоть чуть чуть разобраться теперь после соединения у меня возникла такая проблема пока обе стороны пинги не отправят пинги не идут т.е через какое то время они уходит в сон что ли не понятно почему так.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Strongswan настройка конфигурации по таблице."  +/
Сообщение от Licha Morada (ok), 07-Ноя-19, 01:08 

> Спасибо большое что помог хоть чуть чуть разобраться теперь после соединения у
> меня возникла такая проблема пока обе стороны пинги не отправят пинги
> не идут т.е через какое то время они уходит в сон
> что ли не понятно почему так.

Рекомендую хороший бубен, а также смотреть логи и статусы очень внимательно с обоих сторон. Причины могут быть весьма разнообразными.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Strongswan настройка конфигурации по таблице."  +/
Сообщение от ITXemail (ok), 07-Ноя-19, 05:34 
>> Спасибо большое что помог хоть чуть чуть разобраться теперь после соединения у
>> меня возникла такая проблема пока обе стороны пинги не отправят пинги
>> не идут т.е через какое то время они уходит в сон
>> что ли не понятно почему так.
> Рекомендую хороший бубен, а также смотреть логи и статусы очень внимательно с
> обоих сторон. Причины могут быть весьма разнообразными.

Понял )

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру