Tham gia Đăng nhập
Điểm:0
deann avatar Server

Sự cố khi định cấu hình ứng dụng khách StrongSwan trên phiên bản AWS cho VPN site-to-site

lá cờ ru
deann

Tôi đang cố gắng thiết lập ứng dụng khách IPSec VPN trên phiên bản debian-10 AWS.

Thật không may, tôi không có quyền truy cập vào máy chủ VPN vì nó được cấu hình bởi một bên khác, vì vậy tất cả những gì tôi biết là họ nói với tôi rằng nó được cấu hình cho máy chủ của tôi. my-aws-public-ip.

Tôi đang cố gắng sử dụng Strongswan - Linux StrongSwan U5.7.2/K4.19.0-16-cloud-AMD64

Đây là tập tin conf của tôi:

thiết lập cấu hình
        uniqueids=no
        charondebug = "tất cả"

kết nối vpn
        loại = đường hầm
        keyexchange=ikev2
        hung hăng = không
        authby=bí mật
        auto=thêm
        ike=aes256-sha256-modp2048!
        đặc biệt=aes256-sha256-modp2048!
        ikelifetime=28800s
        left=my-aws-internal-ip
        leftid=my-aws-public-ip
        leftsubnet=192.168.140.120/29
        leftsourceip=192.168.140.121
        right=another-party-peer-ip
        rightsubnet=another-party-tunnel-network/mask
        dpddelay=300s
        dpdtimeout=120s
        dpdaction=khởi động lại
        rekey=có
        reauth=có
        tuổi thọ phím = 3600s
        đóng cửa = khởi động lại
        đóng gói = có
        forceencaps=yes
        cài đặt chính sách = có

Khi tôi Sudo systemctl khởi động lại Strongswan, Tôi nhận được một dịch vụ đang hoạt động. Tuy nhiên, có vẻ như tôi không phải là thành viên của VPN vì tôi không thể ping bất kỳ mạng-đường-hầm-bên-khác Các địa chỉ IP.

Sử dụng IP linh hoạt trên AWS, tôi cho rằng mình đứng sau NAT. Đó có phải là vấn đề khi chuyển các gói qua đường hầm IPSec không?

Bạn có thấy điều gì sai với tập tin conf của tôi không?

Cuối cùng nhưng không kém phần quan trọng, khi tôi được bên kia thông báo rằng họ đã định cấu hình VPN cho my-aws-public-ip, tôi đã nhận được một tệp có thông tin về mạng - như Phiên bản IKE, Chế độ Authenticaiton, Khóa chia sẻ trước, v.v. .Tôi đã chèn Preshared key vào /etc/ipsec.secrets bằng cú pháp sau: : PSK "my-preshared-key" Ngoài ra, trong tệp có thông tin mạng, người ta nói rằng họ đã định cấu hình Thông tin danh sách truy cập đường hầm VPN cho mạng: 192.168.140.120/29 và quy tắc bảo mật Tường lửa cho 192.168.140.121, do đó tôi đã thêm mạng con tráileftsourceip trong tập tin cấu hình. Đây không phải là mạng con AWS của tôi. Đó có phải là một vấn đề? Tôi đã thêm một giao diện với địa chỉ ip sudo thêm 192.168.140.121/29 dev ens5, và tôi nhìn thấy nó với ip một.

Chúng tôi rất trân trọng bất kỳ sự giúp đỡ nào.

Cảm ơn

22
0 + 0
lá cờ cn
ecdsa
Với `auto=add`, kết nối không được bắt đầu tự động. Thay đổi điều đó thành `start` hoặc `route` hoặc sử dụng `sudo ipsec up vpn` để bắt đầu kết nối theo cách thủ công. Cũng lưu ý rằng `leftsourceip` dành cho các IP ảo đàm phán động, không cần thiết cho các IP nội bộ tĩnh, `leftsubnet` là đủ cho việc đó.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.