ipsec config em strongSwan

Question

ipsec config em strongSwan

#1 resposta do (2 votos)

1

Estou tentando definir uma VPN ipsec entre dois pares hospedados na AWS, mas não consigo fazer isso funcionar. Meu ambiente é o seguinte:

Um ponto tem 10.10.1.100 como IP privado e 8.a.b.c como público, o cliente remoto está acessível a partir do IP 9.d.e.c, disseram-me para seguir estes parâmetros na configuração:

Configurações da fase 1:

• Versão IKE: IKEv2

• Método de autenticação IKE: chave pré-compartilhada

• Algoritmo de criptografia IKE: AES256

• Algoritmo de autenticação IKE: HMAC_SHA256

• Grupo Diffie-Hellman do IKE: Grupo 2 - 1024 bits

• Vida útil da Fase 1 do IKE: 86400s

• Modo IKE Exchange: Principal

Configurações da fase 2:

• Algoritmo de criptografia: AES256

• Algoritmo de autenticação: HMAC_SHA256

• Grupo Diffie-Hellman: Grupo 2 - 1024 bits

• Tempo de vida da fase 2: 3600s

Então, em um dos colegas, configurei isso no arquivo ipsec.conf

# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup
        charondebug="ike 4, knl 2, cfg 2, net 4, lib 2, chd 4, mgr 4, enc 4"
        # strictcrlpolicy=yes
        # uniqueids = no

# Add connections here.

# Sample VPN connections

conn cet
        authby=secret
        keyexchange=ikev2
        esp=aes256-sha256-modp1024
        ikelifetime=86400s
        ike=aes256-sha256-modp1024
        keylife=3600s
        leftsubnet=10.10.1.0/24
        left=10.10.1.100
        right=9.d.e.c
        rightsubnet=192.168.1.0/24
        mobike=no
        auto=start

E o arquivo /etc/ipsec.secrets é assim:

#ipsec.secrets - strongSwan IPsec secrets file
54.169.72.161 : PSK "oddRandomCharacters"

Mas quando tento estabelecer a conexão VPN, esta é a saída que estou recebendo:

initiating IKE_SA cet[68] to 9.d.e.f
generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
sending packet: from 10.10.1.100[500] to 9.d.e.f[500] (900 bytes)
received packet: from 9.d.e.f[500] to 10.10.1.100[500] (336 bytes)
parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]
local host is behind NAT, sending keep alives
remote host is behind NAT
authentication of '10.10.1.100' (myself) with pre-shared key
establishing CHILD_SA cet
generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH SA TSi TSr N(MULT_AUTH) N(EAP_ONLY) ]
sending packet: from 10.10.1.100[4500] to 9.d.e.f[4500] (384 bytes)
received packet: from 9.d.e.f[4500] to 10.10.1.100[4500] (80 bytes)
parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]
received AUTHENTICATION_FAILED notify error
establishing connection 'cet' failed

Suponho que estou perdendo os parâmetros da fase 2 porque, no que me diz respeito, a negociação da fase 1 é boa, mas quando o túnel tenta estabelecê-la falha. A chave privada está correta e os parâmetros de configuração são os compartilhados antes, então não deveria ser o problema, infelizmente eu não tenho acesso aos logs peer remotos, então o / var / log / syslog é tudo que eu tenho:

Aug 27 02:03:11 ap-southeast-2-gw charon: 10[IKE] successfully created shared key MAC
Aug 27 02:03:11 ap-southeast-2-gw charon: 10[IKE] establishing CHILD_SA cet
Aug 27 02:03:11 ap-southeast-2-gw charon: 10[CFG] proposing traffic selectors for us:
Aug 27 02:03:11 ap-southeast-2-gw charon: 10[CFG]  10.10.1.0/24
Aug 27 02:03:11 ap-southeast-2-gw charon: 10[CFG] proposing traffic selectors for other:
Aug 27 02:03:11 ap-southeast-2-gw charon: 10[CFG]  192.168.1.0/24
Aug 27 02:03:11 ap-southeast-2-gw charon: 10[CFG] configured proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_128/AES_CBC_192/AES_CBC_256/3DES_CBC/BLOWFISH_CBC_256/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/HMAC_SHA1_96/AES_XCBC_96/HMAC_MD5_96/NO_EXT_SEQ
Aug 27 02:03:11 ap-southeast-2-gw charon: 10[KNL] got SPI cd02b0dc
Aug 27 02:03:11 ap-southeast-2-gw charon: 10[ENC] generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH SA TSi TSr N(MULT_AUTH) N(EAP_ONLY) ]
Aug 27 02:03:11 ap-southeast-2-gw charon: 10[NET] sending packet: from 10.10.1.100[4500] to 54.169.72.161[4500] (384 bytes)
Aug 27 02:03:11 ap-southeast-2-gw charon: 05[NET] sending packet: from 10.10.1.100[4500] to 54.169.72.161[4500]
Aug 27 02:03:12 ap-southeast-2-gw charon: 03[NET] received packet: from 54.169.72.161[4500] to 10.10.1.100[4500]
Aug 27 02:03:12 ap-southeast-2-gw charon: 03[NET] waiting for data on sockets
Aug 27 02:03:12 ap-southeast-2-gw charon: 15[NET] received packet: from 54.169.72.161[4500] to 10.10.1.100[4500] (80 bytes)
Aug 27 02:03:12 ap-southeast-2-gw charon: 15[ENC] parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]
Aug 27 02:03:12 ap-southeast-2-gw charon: 15[IKE] received AUTHENTICATION_FAILED notify error

Estou sentindo falta de algo?

ipsec amazon-vpc strongswan

por nikolaigauss 27.08.2017 / 04:09

1 resposta

Tags ipsec amazon-vpc strongswan

Qual é o diretório mais comum e recomendado para um aplicativo da Web no FreeBsd? [fechadas] Impressão de Área de Trabalho Remota TCP / IP

score 2 · Answer 1

~~O AFAIK Ikev2 não suporta segredo como método auth.~~ .

Editar: isso pode não ser verdade em uma configuração de site a site. Eu usei apenas o Strongswan para uma configuração de roadwarrior com clientes do Windows 10 e o secret ou o PSK não funciona no Windows para o Ikev2.

Você precisa fazer o método EAP mútuo, como EAP-TLS em ambos os lados, ou EAP no lado da solicitação e chave pública no lado do servidor.

Edit: Você poderia compartilhar a configuração do outro lado?