3

我正在使用 StrongSwan 创建一个 VPN。这是我第一次使用这个工具。我按照教程进行设置。我遇到了对等连接超时的阻止程序。状态为0 up, 1 connecting

我在不同的服务器上尝试过,同样的问题发生了。

ipsec.conf

conn conec-example
  authby=secret
  left=%defaultroute
  leftid=<public_IP_1>
  leftsubnet=<private_ip_1>/20
  right=<public_IP_2>
  rightsubnet=<private_ip_2>/20
  ike=aes256-sha2_256-modp1024!
  esp=aes256-sha2_256!
  keyingtries=0
  ikelifetime=1h
  lifetime=8h
  dpddelay=30
  dpdtimeout=120
  dpdaction=restart
  auto=start

ipsec.secrets

public_IP_1 public_IP_2 : PSK "randomprivatesharedkey"

以下是部分日志:

Aug 18 17:29:01 ip-x charon: 10[IKE] retransmit 2 of request with message ID 0
Aug 18 17:29:01 ip-x charon: 10[NET] sending packet: from x.x[500] to x.x.x.x[500] (334 bytes)
Aug 18 17:30:19 ip-x charon: 13[IKE] retransmit 5 of request with message ID 0
Aug 18 17:30:19 ip-xcharon: 13[NET] sending packet: from x.x[500] tox.x.x.129[500] (334 bytes)
Aug 18 17:31:35  charon: 16[IKE] giving up after 5 retransmits
Aug 18 17:31:35 charon: 16[IKE] peer not responding, trying again (2/0)

我希望在设置后连接成功,但没有成功。我该如何解决这个问题?有任何想法吗?

4

1 回答 1

0

根据日志摘录,strongswan 无法到达其他对等方。信息太少,无法提供准确的答案;需要拓扑和寻址计划、相关的 AWS 安全组设置和两个VPN 对等点配置。

仍然请让我提供一些提示,以便通过 VPN 成功连接:

  1. UDP 端口 500 和 4500 必须在两个 VPN 对等方上打开。在 AWS 中,这意味着与运行 strongswan 的 EC2 实例关联的 AWS 安全组必须包含明确的规则,以允许端口 500 和 4500 上的传入 UDP 流量。EC2 实例始终位于 NAT 之后,因此 ESP/AH 数据包将封装在 UDP 数据包中.
  2. 两个 VPN 对等体上的任何防火墙都必须允许前面提到的 UDP 流量。
  3. 请注意,UDP 封装会影响通过 VPN 连接的流量的 MTU。
于 2019-08-19T13:12:11.643 回答