Não é possível estabelecer conexão vpn site a site entre o Cisco 3900 e o cliente strongSwan

Navegue suas respostas
1

Eu tenho um site, que exibe dados, recebidos de modems gsm. Então, eu estou tentando conectar meu site ao provedor de rede GSM usando vpn.

Lado do provedor há um Cisco 3900, configurado como site para site vpn server e meu lado eu tenho strongswan instalado no debian linux e configurado como cliente.

Estou usando este guia para configuração do cliente link

Na configuração do lado do provedor de rede GSM é assim:

  • Versão de equipamentos VPN: Cisco 3900
  • Módulos VPN: DES + 3DES + AES
  • IP do gateway da VPN: "VpnGatewayIP"
  • Hosts que usam VPN: 10.248.64.0/20

Informações do túnel

Fase 1 (IKE)

  • Método de autenticação: chave pré-compartilhada
  • Esquema de criptografia: IKE
  • Perfect Forward Secrecy- IKE: Grupo DH-5
  • Algoritmo de criptografia: AES256
    • Algoritmo de hash
  • : SHA1
  • Renegocie o IKE SA a cada: 86400 segundos

Fase 2 (IPSEC)

  • IPSec: ESP
  • Perfect Forward Secrecy - IPSEC: Grupo DH-5
  • Algoritmo de criptografia IPSec: AES256
  • IPSec do Algoritmo de Hashing: SHA1
  • Renegocie o IPSec SA a cada: 3600 segundos
  • Modo agressivo: NÃO EM USO

Este é o conteúdo do meu arquivo de configuração /etc/ipsec.conf 

config setup
        strictcrlpolicy=no
        charondebug="ike 1, knl 2, cfg 0"

conn %default
     ikelifetime=1440m
     keylife=60m
     rekeymargin=3m
     keyingtries=1
     keyexchange=ikev1
     authby=secret

conn "providerVPN"
     left=MyServerIP
     leftsubnet=MyServerIP/32
     leftid=MyServerIP
     leftfirewall=yes
     right=VpnGatewayIP
     rightsubnet=10.248.64.0/20
     rightid=VpnGatewayIP
     auto=add
     ike=aes256-sha1-modp1536
     esp=aes256-sha1

e arquivo PSK /etc/ipsec.secrets 

MyServerIP VpnGatewayIP : PSK someSecretKey

iniciando o cliente assim 

/etc/init.d/ipsec start

depois disso, o ifconfig não exibe nenhuma nova conexão e o "status ipsec" me fornece a saída 

Security Associations (0 up, 0 connecting):
  none

Existe um log em /var/log/daemon.log 

Sep  6 17:54:12 gmapfish ipsec[1221]: ipsec starter stopped
Sep  6 17:54:15 gmapfish ipsec[1320]: Starting strongSwan 5.2.1 IPsec [starter]...
Sep  6 17:54:15 gmapfish charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.2.1, Linux 3.16.0-4-686-pae, i686)
Sep  6 17:54:15 gmapfish charon: 00[KNL] known interfaces and IP addresses:
Sep  6 17:54:15 gmapfish charon: 00[KNL]   lo
Sep  6 17:54:15 gmapfish charon: 00[KNL]     127.0.0.1
Sep  6 17:54:15 gmapfish charon: 00[KNL]     ::1
Sep  6 17:54:15 gmapfish charon: 00[KNL]   eth0
Sep  6 17:54:15 gmapfish charon: 00[KNL]     "MyServerIP"
Sep  6 17:54:15 gmapfish charon: 00[KNL]     10.19.0.5
Sep  6 17:54:15 gmapfish charon: 00[KNL]     df80::501:a8ef:ef9f:a321
Sep  6 17:54:15 gmapfish charon: 00[LIB] loaded plugins: charon aes rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm attr kernel-netlink resolve socket-default stroke updown
Sep  6 17:54:15 gmapfish charon: 00[LIB] unable to load 3 plugin features (3 due to unmet dependencies)
Sep  6 17:54:15 gmapfish charon: 00[LIB] dropped capabilities, running as uid 0, gid 0
Sep  6 17:54:15 gmapfish charon: 00[JOB] spawning 16 worker threads
Sep  6 17:54:15 gmapfish charon: 07[KNL] "VpnGatewayIP" is not a local address or the interface is down
Sep  6 17:54:15 gmapfish ipsec[1320]: charon (1348) started after 60 ms

Alguma sugestão sobre o que há de errado com minhas configurações?

    
por iss_628 06.09.2016 / 17:35

1 resposta

1

Finalmente eu encontrei a solução para o meu problema, foi apenas um problema de configuração.

em vez de auto = adicionar deve haver auto = start e esp = aes256-sha1 deve ser esp = aes256- sha1-modp1536

Também adicionei parâmetros db, mas para o trabalho é opcional. Se você alterar apenas esses dois parâmetros, funcionará.

A configuração final de trabalho é assim. 

# ipsec.conf - strongSwan IPsec configuration file                                                                                                                             

# basic configuration                                                                                                                                                           

config setup
    charondebug="ike 4, knl 4, cfg 4, net 4, esp 4, dmn 4,  mgr 4"
        #uniqueids = no                                                                                                                                                         

conn %default
    ikelifetime=1440m
    keylife=60m
    rekeymargin=3m
    keyingtries=1
    mobike=no
    keyexchange=ikev1
    dpdaction=clear
    dpddelay=200s

conn "providerVPN"
    type=tunnel
    auto=start
    aggressive=no
    esp=aes256-sha1-modp1536
    ike=aes256-sha1-modp1536

    right=VpnGatewayIP
    rightsubnet=10.248.64.0/20
    rightid=VpnGatewayIP
    rightauth=psk

    left=MyServerIP
    leftsubnet=MyServerIP/32
    leftid=MyServerIP
    leftauth=psk

    dpddelay=30s
    dpdaction=hold
    dpdtimeout=120s
    ikelifetime=86400s
    lifetime=86400s
    
por 08.09.2016 / 23:22

Tags

Strongswan: Modo de transporte com hosts remotos não específicos Compilando o mod-wsgi - Como instalar o python3-devel no centos-6.8