Доброго времени суток уважаемые.
Ситуация такая мы с клиентом хотим между собой настроить ipsec туннель для передачи данных.
так вот они нам прислали таблицу для заполнения и вот тут у меня возникли вопросы как все это перевести в конфиг файл.
Таблица состоит из таких вот строк.Details of VPN Gateway
Encryption Mode |Site to Site Tunnel Mode | Site to Site Tunnel Mode
Equipment Type |Juniper | Linux CentOS (strongSwan)
Setting of IPSEC connection
Phase 1
Authentication Method |Pre-Shared Key |Pre-Shared Key
Encryption Scheme |IKE |IKE
Diffie-Hellman Group |Group 2 |Group 2
Encryption Algorithm |3DES |3DES
Hashing Algorithm |SHA1 |SHA1
Main or Aggressive Mode |Main mode |Main mode
Lifetime (for renegotiation) |86400s |86400s
Phase 2
Encapsulation (ESP or AH) |ESP |ESP
Encryption Algorithm |3DES |3DES
Authentication Algorithm |SHA1 |SHA1
Perfect Forward Secrecy |Group 2 |Group 2
Lifetime (for renegotiation) |3600s |3600s
Lifesize in KB |0 |0
Tunnel Configuration
Local IP address |192.168.120.150 |192.168.0.5
Peer IP address |1.1.1.1 |2.2.2.2буду очень благодарен за помощь.
> Доброго времени суток уважаемые.
> Ситуация такая мы с клиентом хотим между собой настроить ipsec туннель для
> передачи данных.
> так вот они нам прислали таблицу для заполнения и вот тут у
> меня возникли вопросы как все это перевести в конфиг файл.
> Таблица состоит из таких вот строк.Я, в своё время, много тыкался и подбирал параметры почти на ощупь, читая доки, туториалы и примеры (с тех пор ещё нежнее полюбил OpenVPN и Tinc), постепенно пришёл к прототипу, который проходится чуточку подтачивать работая с разными peerами. Мой кейс это всегда net-to-net, не peer-to-net.
Получается примерно так:
> Encryption Mode |Site to Site Tunnel Mode | Site to
> Site Tunnel Modetype=tunnel
> Setting of IPSEC connection
> Phase 1
> Authentication Method |Pre-Shared Key |Pre-Shared Keyauthby=secret
> Encryption Scheme |IKE |IKE
keyexchange=ike
> Diffie-Hellman Group |Group 2 |Group 2
> Encryption Algorithm |3DES |3DES
> Hashing Algorithm |SHA1 |SHA1ike=3des-sha1-modp1024
> Main or Aggressive Mode |Main mode |Main mode
aggressive = no #default
> Lifetime (for renegotiation) |86400s |86400s
ikelifetime=24h
> Phase 2
> Encapsulation (ESP or AH) |ESP |ESP
> Encryption Algorithm |3DES |3DES
> Authentication Algorithm |SHA1 |SHA1
> Perfect Forward Secrecy |Group 2 |Group 2esp=3des-sha1-modp1024
> Lifetime (for renegotiation) |3600s |3600s
> Lifesize in KB |0 |0Возможно, lifebytes = <number> и lifetime = <time>
> Tunnel Configuration
> Local IP address |192.168.120.150 |192.168.0.5
> Peer IP address |1.1.1.1
> |2.2.2.2left=xx.xx.xx.xx #this side real IP in the interface
leftsubnet=yy.yy.yy.yy/zz #comma separated this side networksright=XX.XX.XX.XX #peer side visible IP
rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networksЕщё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет под рукой примера.
Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
Смотрите доки, типа:
https://kb.juniper.net/InfoCenter/index?page=content&id=KB34...
>[оверквотинг удален]
>> |2.2.2.2
> left=xx.xx.xx.xx #this side real IP in the interface
> leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks
> right=XX.XX.XX.XX #peer side visible IP
> rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks
> Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет
> под рукой примера.
> Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
> Смотрите доки, типа:
> https://kb.juniper.net/InfoCenter/index?page=content&id=KB34...Спасибо большое что помог хоть чуть чуть разобраться теперь после соединения у меня возникла такая проблема пока обе стороны пинги не отправят пинги не идут т.е через какое то время они уходит в сон что ли не понятно почему так.
> Спасибо большое что помог хоть чуть чуть разобраться теперь после соединения у
> меня возникла такая проблема пока обе стороны пинги не отправят пинги
> не идут т.е через какое то время они уходит в сон
> что ли не понятно почему так.Рекомендую хороший бубен, а также смотреть логи и статусы очень внимательно с обоих сторон. Причины могут быть весьма разнообразными.
>> Спасибо большое что помог хоть чуть чуть разобраться теперь после соединения у
>> меня возникла такая проблема пока обе стороны пинги не отправят пинги
>> не идут т.е через какое то время они уходит в сон
>> что ли не понятно почему так.
> Рекомендую хороший бубен, а также смотреть логи и статусы очень внимательно с
> обоих сторон. Причины могут быть весьма разнообразными.Понял )
>[оверквотинг удален]
>> |2.2.2.2
> left=xx.xx.xx.xx #this side real IP in the interface
> leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks
> right=XX.XX.XX.XX #peer side visible IP
> rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks
> Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет
> под рукой примера.
> Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
> Смотрите доки, типа:
> https://kb.juniper.net/InfoCenter/index?page=content&id=KB34...Добрый день. А StrongSwan сам создаст сертификат и ключи или нужно это делать самостоятельно?
>[оверквотинг удален]
>> leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks
>> right=XX.XX.XX.XX #peer side visible IP
>> rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks
>> Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет
>> под рукой примера.
>> Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
>> Смотрите доки, типа:
>> https://kb.juniper.net/InfoCenter/index?page=content&id=KB34...
> Добрый день. А StrongSwan сам создаст сертификат и ключи или нужно это
> делать самостоятельно?В примере, который я привёл, от оператора требуется толко PSK (pre-shared key).
Если для аутентикации использовать сертификаты, то да, надо их создавать самостоятельно и танцевать вокруг Certification Authority.
>[оверквотинг удален]
>>> Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет
>>> под рукой примера.
>>> Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
>>> Смотрите доки, типа:
>>> https://kb.juniper.net/InfoCenter/index?page=content&id=KB34...
>> Добрый день. А StrongSwan сам создаст сертификат и ключи или нужно это
>> делать самостоятельно?
> В примере, который я привёл, от оператора требуется толко PSK (pre-shared key).
> Если для аутентикации использовать сертификаты, то да, надо их создавать самостоятельно
> и танцевать вокруг Certification Authority.Огромное спасибо вам за пост, очень помогла эта инфа в аналогичной ситуации.
Добрый день. Подскажите пожалуйста что писать в конфиги strongswan и ipsec в таком случае.
Ниже требования оператора связи для создания защищённого соединения. Я пробовал различные варианты конфигов, в интернете их много. Туннель не поднимается, а время поджимает.
--------------------------------------------------------------------------------------
VPN peer gateway | здесь внешний ip их Cisco
--------------------------------------------------------------------------------------
IKE Parameters (Phase 1)
--------------------------------------------------------------------------------------
IKE version | Ikev2
Authentication Method | Preshared key
Key Exchange encryption | AES-256
Data Integrity | SHA
Diffie-Hellman Group (phase 1) | Group 14
Timer IKE phase 1 | 86400
pseudo-random function (prf) | sha256 sha
Type | Main mode
--------------------------------------------------------------------------------------
IPSec SA Parameters (Phase 2)
--------------------------------------------------------------------------------------
UDP encapsulation | Yes
Protocol | ESP
IPSEC | AES-256
Data Integrity | AES-256
Diffie-Hellman Group | PFS Group 14
Transform-set | esp-aes-256 esp-sha-hmac (AES256-SHA)
Timer IKE phase 2 | 3600
Traffic Initiator | V
Encryption Domain | Тут три ip из пула внутренней сети оператора
--------------------------------------------------------------------------------------
> Добрый день. Подскажите пожалуйста что писать в конфиги strongswan и ipsec в
> таком случае.Ну, давайте посмотрим на то что у вас уже есть, чтобы не начинать с нуля, и что именно не получается.