问题标签 [strongswan]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

53 问题
Newest
Active
Bountied
318
Unanswered
0 投票
3 回答
11644 浏览

android - 应用程序中检测到 JNI 错误:调用 JNI NewGlobalRef 时出现未决异常 java.lang.ClassNotFoundException:

我正在开发 VPN 应用程序并遵循strongswan应用程序的代码。我使用了这个应用程序的代码,它.so通过 JNI 加载文件,我从 strongswan 项目中复制了这些文件。它为以下文件之一提供了此例外:

异常指向此行的错误:

异常中的包名称是我从中复制代码的项目的包名称。 org.strongswan.android.logic.CharonVpnService

但我的应用程序包名称是com.whizpool.vpn.logic.CharonVpnService.

我在我的项目中到处都搜索过org.strongswan.android,但没有。

这是我的清单文件:

0 投票
1 回答
846 浏览

vpn - 无法访问安装了 VPN 的服务器中的 zabbix 默认端口 (10050)

我想监视包含使用 zabbix 安装的 VPN(strongswan) 的服务器。

从我的 Zabbix 服务器无法访问安装在我的 VPN 服务器中的 zabbix 客户端。他们有什么方法可以打开zabbix默认端口10050吗?

命令输出显示:

0 投票
0 回答
4813 浏览

raspberry-pi - VPN 客户端配置使用 IPsec/L2TP 使用 debian raspberry pi

我正在使用 IPsec/L2TP 将我的树莓派设置为 VPN 客户端。我正在使用以下指南使用命令行配置 Linux VPN 客户端

  1. 设置完所有设置后,我遇到了几个问题,当我尝试使用ipsec up myvpn. 我收到以下错误

    /usr/local/sbin/ipsec: 未知 IPsec 命令 "up" ("ipsec --help" 用于列表)

  2. 设置并重新启动我的树莓派后,当我运行时 ipsec verify,我得到了ipsec verify 的表状态表,其中我的 pluto 没有运行(错误 1)并且有一个错误ikev1

我的动机是使用IPsec/L2TP在我的树莓派上设置 VPN 客户端, 以便我可以访问我的远程 VPN 客户端。此外,我正在设置我的 IPsec/L2TP strongSwanxl2tpdIpsec verify在路径 ipsec verison 上使用的是Libreswan 3.27 (netkey) on 4.14.98-v7+. 我试图改变它但没有成功。任何关于上述问题的建议都会很棒,我将不胜感激。问候萨奇布

0 投票
0 回答
749 浏览

vpn - 在 Libreswan(Ipsec 隧道)中使用证书时 IKE 身份验证失败

我正在使用 Libreswan 在 VM 之间创建 IPSec 隧道。我正在使用证书进行身份验证(对于 IPSec 的第 1 阶段)。但是 IKE 隧道未建立,身份验证失败。

我一直在尝试使用证书在两个本地 VM(安装在我的 Mac 上)之间建立 IPSec 连接。我按照此链接中提到的步骤(https://libreswan.org/wiki/HOWTO:_Using_NSS_with_libreswan#Configuring_certificates_in_ipsec.conf_and_ipsec.secrets

我在其中一台机器上创建了一个证书颁发机构,并创建了一个用这个 CA 签名的用户证书。

certutil -S -k rsa -n "MyCA" -s "CN=localhost.localdomain" -v 12 
-t "CT,C,C" -x -d sql:/etc/ipsec.d

certutil -S -k rsa -c "MyCA" -n "user1" -s "CN=localhost.localdomain" 
-v 12 -t "u,u,u" -d sql:/etc/ipsec.d'

要将 CA 加载到另一台机器上,我使用

pk12util -o CACert.p12 -n MyCA -d sql:/etc/ipsec.d

将此 CACert.p12 文件复制到另一台计算机。将其导入 NSS DB。


ipsec import CACert.p12


<code>certutil -M -n MyCA -t "CT,," -d sql:/etc/ipsec.d

创建了由同一 CA 签名的另一个用户证书

certutil -S -k rsa -c "MyCA" -n "user2" -s "CN=localhost.localdomain" 
-v 12 -t "u,u,u" -d sql:/etc/ipsec.d

这里是隧道的配置参数。

我还尝试将 FQDNS 用于隧道的 leftid 和 rightid。我遇到了同样的错误。

以下是错误:-

0 投票
0 回答
1333 浏览

linux-kernel - 带有 strongSwan 的 Linux 上的 IPSec:收到 netlink 错误:没有这样的文件或目录 (2)

我在两台主机上建立了一个 IPSec 系统,基本信息如下: - Linux 内核:4.4.135 - IKE:strongSwan 5.6.1

LAN1 --->| WAN1:192.168.100.121 | <---->| WAN2:192.168.100.122 | <---- 局域网2

我正在测试一个名为 BC512 的新块算法,块大小为 128 位,密钥大小为 512 位(密钥比 AES 或 Camellia 等常用算法大,但这是我需要运行测试的测试算法) .

/etc/ipsec.conf文件的一般配置如下:

当我在 /etc/ipsec.conf 文件中使用 ESP/IKE 参数配置 strongSwan 时,给出以下结果:

运行 ipsec start --nofork 时出错:在 Host1 上:

在主机 2 上:

我认为将BC512算法源代码集成到strongSwan中是没有问题的,因为可以配置IKE而不会出现任何错误。

由于 BC512 算法集成到 Linux 内核中,可能会发生错误。原因可能是 BC512 算法的密钥长度非常大(512 位)?

其他一些信息: 1. 运行命令 cat /proc/crypto

如您所见,内核无法初始化转换,例如:

  1. 来自 Linux 内核的调试信息:

程序 hmac_setkey 后出现错误。

我每周调试和搜索,但无法解决问题。

我认为 Linux 内核的 Crypto API 已被限制为无法使用验证码 HMAC-SHA256 或 HMAC-SHA512 初始化在 CTR 模式下运行的分组密码算法(BC512)。

此外,当使用 AES(密钥大小 128、192 和 256)、Blowfish(密钥大小 128)、Camellia(密钥大小 128、192 和 256)等其他分组密码时,可以在 CTR 模式和 HMAC-SHA256 或 HMAC 下运行-SHA512。

在CBC、CFB、OFB、GCM、CCM模式下配置BC512时;可以使用 HMAC-SHA1、HMAC-SHA256 和 HMAC-SHA512。

只有具有 CTR 模式的 BC512 不能与 HMAC-SHA256 和 HMAC-SHA512 一起使用。

请帮助我,提前谢谢你。

0 投票
1 回答
1647 浏览

amazon-ec2 - Strongswan没有建立连接

我正在使用 StrongSwan 创建一个 VPN。这是我第一次使用这个工具。我按照教程进行设置。我遇到了对等连接超时的阻止程序。状态为0 up, 1 connecting

我在不同的服务器上尝试过,同样的问题发生了。

ipsec.conf

ipsec.secrets

以下是部分日志:

我希望在设置后连接成功,但没有成功。我该如何解决这个问题?有任何想法吗?

0 投票
1 回答
14689 浏览

vpn - strongswan: 07[IKE] 找不到 IKE 配置,发送 NO_PROPOSAL_CHOSEN

我已经配置了一个 VPN 网关和一个隧道,但它没有出现低于错误。

charon: 13[IKE] 找不到 10.0.1.211...125.17.97.4 的 IKE 配置,发送 NO_PROPOSAL_CHOSEN

0 投票
0 回答
511 浏览

nat - 两个 Mikrotik 站点的 NAT 到 Strongswan 的公共 IP

我正在尝试重现 strongswan 测试 net2net-gw 中的模式,但在 NAT 后面使用“月亮”和“太阳”(请参阅​​ https://www.strongswan.org/testing/testresults/swanctl/net2net-gw/)。到目前为止,CA 已配置,证书已颁发,mikrotik 已配置,我可以建立隧道并设置 SA,但我无法从另一个站点 ping 通一个站点。卡罗尔配置:

这是“月亮” mikrotik 配置本地子网 192.168.1.0/24 :

这是“sun” mikrotik 配置本地子网 192.168.3.0/24 :

swanctl -l 的“carol”输出

“carol” iptables 有:

“carol”有 sysctl

当我从“sun”后面的工作站 192.168.3.254 之一运行 ping 时,“carol”tcpdump net 192.168.0.0/16:

当我尝试从“sun” ping 192.168.1.1 时,我看到数据包计数器增加,但没有回复,就像我从“moon” ping 192.168.3.1 一样。但是,如果我断开“sun”并将虚拟 IP 地址 192.168.3.1 添加到 carol ip addr add 192.168.3.1/24 dev eth0ping 从“moon”到 192.168.3.1 成功,但奇怪的是 - 我无法从 carol ping“moon”...

感谢您提前提供任何建议:)

0 投票
1 回答
241 浏览

logging - 为我们strongswan问题提出流量选择器

使用新的 stongswan 模块,我们每秒都会收到以下日志消息。

是否有可能在 strongswan 日志中关闭这些消息?

这条消息是什么意思?

0 投票
1 回答
55 浏览

routes - 使用 strongswan 的连接问题

以下是我最后的设置:

  1. VPN1 机器(AMS3 区域)
  2. VPN2 机器(Singapore1 区域)

我已经在不同区域使用 2 台机器配置了 strongswan,在两台机器上启动 ipsec 后,两台机器都可以在私有 IP 上相互访问。

所以似乎strongswan配置成功。

但现在我在 Singapore1 地区又创建了一台机器(Test1)并测试了以下内容:

  1. 能够从 VPN1 (AMS3) 访问 Test1 (SGP1) 机器。

但是从 Test1 (SGP1) 机器无法访问 VPN1 机器。

所以据我所知,我们需要添加一些路线,但我不知道它会是什么。

你能帮我解决这个问题吗?

谢谢。


12345678910