问题标签 [strongswan]

问问题

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

53 问题
Newest
Active
Bountied
318
Unanswered
0 投票
1 回答
533 浏览

iptables - strongswan ipsec 无法 ping 子网

我有 2 个 strongswan 连接,每个都可以 ping 另一个。当任何一个子网想要 ping 另一端的 ip 时,我的问题就出现了,它不会发生。我知道我需要添加一些伪装,但我不知道如何(我已经在其他网络元素上添加了路由route add -net x.x.x.x/x gw x.x.x.x

A面:

B面:

非常感谢!

0 投票
1 回答
740 浏览

centos7 - 关于隧道问题 IKEv2 的 strongswan 配置和流量

我是这个范围内的新手。我尝试在谷歌云平台上使用 centos7(不同区域)配置 strongswan 站点到站点。我已经按照本指南进行操作:

  1. https://blog.ruanbekker.com/blog/2018/02/11/setup-a-site-to-site-ipsec-vpn-with-strongswan-and-preshared-key-authentication/
  2. https://www.tecmint.com/setup-ipsec-vpn-with-strongswan-on-centos-rhel-8/
  3. https://medium.com/@georgeswizzalonge/how-to-setup-a-site-to-site-vpn-connection-with-strongswan-32d4ed034ae2

ipsec.conf来自站点 A:

ipsec.secrets档案网站A:

本站ipsec.confB:

ipsec.secret文件站点 B:

我的问题是:

  1. 为什么每次我重新启动 strongswan(strongswan restart)时,strongswan 服务(systemctl status strongswan)都会死/不活动?(注:strongswan隧道还在)

  2. ESP 协议中没有流量,tcpdump esp不显示任何内容,但 strongswan 隧道已启动。我意识到状态给出的结果与示例不同。结果返回ESP in UDP SPIs而不是ESP SPIs. 有什么不同或其他吗?

感谢您的帮助和建议

0 投票
1 回答
98 浏览

windows-10 - 在 windows10 和 SUSE Sles 12 之间配置 IKE/Ipsec 连接时出错

我是 Ipsec/Ikev2 概念的新手。我正在尝试使用 strong swan 在 Windows 10 和 SUSE SELES 12 机器之间创建 Ipsec/IKEv2 连接。

现在我没有 SUSE 机器的 ipsec 配置信息。但我可以告诉你我的观察和问题:

注意:我没有在 ipsec.conf 文件中提供 IKE 和 ESP 值,我正在使用 PSK 进行身份验证。

  • 当我在 SUSE 机器的 ipsec.conf 中保留 keyexchange = ike 的值时。SUSE 一直在向 Windows 发送数据包,但没有得到响应。

  • 我将值更改为 keyexchange = IKEv1,现在 SUSE 正在向 Windows 机器发送数据包并获得响应。但得到如下错误:

    2020-10-15T13:25:09.153507+03:00 ct99 charon: 13[NET] 发送数据包:从 3.213.176.114[500] 到 3.213.176.129[500](172 字节) 2020-10-15T13:25:09.153663 +03:00 ct99 charon: 14[NET] 接收数据包:从 3.213.176.129[500] 到 3.213.176.114[500](56 字节) 2020-10-15T13:25:09.153819+03:00 ct99 charon: 14[ ENC] 已解析 INFORMATIONAL_V1 请求 2363509334 [ N(NO_PROP) ] 2020-10-15T13:25:09.153977+03:00 ct99 charon: 14[IKE] 收到NO_PROPOSAL_CHOSEN错误通知

  • Windows 10 配置信息:

    MainMode CryptoSet 信息:

    建议:{0:加密:AES128:哈希:SHA1:密钥交换:DH14}

    QuickModeCryptoSet:

    建议:{0:封装:ESP:EspHash:SHA1:加密:AES128:MaxLifetimeKilobytes:100000:MaxLifetimeMinutes:60}

您能否帮助我理解为什么我必须设置 keyexchange = IKEV1 的值,因为它应该可以工作,即使根据我的理解将值设置为 IKE。

对于日志中的另一个错误。我试图为 ike 和 esp 设置多个可能的值,但它仍然没有抛出相同的错误。请帮我解决这个问题。

提前非常感谢您!

0 投票
1 回答
1768 浏览

amazon-ec2 - 无法在 AWS 中使用 Iptables 和 Strongswan 对 IP 进行 NAT

我刚刚配置了 Strongswan 并且可以在 AWS EC2 实例上成功启动 VPN 隧道,但是我遇到了流量问题,因为我们需要对我的 EC2 实例的私有 IP 地址进行 NAT,所以通过 VPN 的所有流量都来自一个特定的IP。

但目前,如果我 ping [DESTINATION_IP] 地址,我的流量仍然来自我的私有 IP。我在 iptables 中尝试了几个 PREROUTING 和 POSTROUTING 规则,但似乎没有任何效果。谁能解释可能是什么问题?

当前的设置

在 AWS 源/目标检查中禁用。

strongswan statusall

ipsec.conf

iptables-保存

0 投票
2 回答
277 浏览

vpn - Openstack如何正确激活vpnaas日志?

我们有一个使用 openstack ansible 构建的 openstack 集群,我们对此非常满意。其实我正在尝试设置一个VPN。我们已经激活了所有必要的东西,并在我们的 openstack 和 sonicwall 之间成功尝试。不幸的是,我们正在尝试与客户建立连接,我正在寻找一些日志,但似乎没有任何记录。

我们在 Openstack Ussuri 和 Ubuntu 20.04

我们已经激活了Strongswan

下面是一些配置文件:

控制器节点:/etc/neutron/neutron.conf

/etc/neutron/l3_agent.ini:

/etc/neutron/neutron_vpnaas.conf:

/etc/neutron/rootwrap.conf:

/openstack/venvs/neutron-21.0.0/lib/python3.8/site-packages/neutron_vpnaas/services/vpn/device_drivers/template/strongswan/ipsec.conf.template:

如果有人可以帮助我激活日志,那就太好了

谢谢

0 投票
0 回答
423 浏览

docker - Strongswan IPSEC IKE 与 Docker 网络子网

我想在我的 DockerHost 上设置 strongswan,以允许 leftSubnet 上的容器(docker 网络子网)与 IPSEC TUNNEL 中的 rightSubnet 通信。

10.0.10.0/24 是我在 DockerHost 上的 leftSubnet 是使用以下命令创建的:

DockerHost 上的 IPSEC IKE 配置:

IPSEC IKE 在我的 DockerHost 和 RemoteServer 之间启动,但我无法从我的容器 ping 到远程子网。

我认为由于 iptables 或类似的原因,与我的容器中的远程子网匹配的流量被路由到隧道之外,但我无法找出问题所在。

0 投票
0 回答
534 浏览

client - IPsec - 客户端无法互相 ping

我很难用 IPsec 完成第一个工作配置。

我想要一个 IPsec 服务器,它与它的客户端创建一个网络,并且我希望客户端能够通过服务器相互通信。我在服务器和客户端上都使用 Strongswan,并且我将拥有一些具有其他 IPsec 实现的客户端。

问题

因此,每个客户端都可以在 10.231.0.1 访问服务器,并且服务器可以 ping 客户端。它运作良好。但客户无法相互联系。

这是我尝试从 10.231.0.3 ping 10.231.0.2 时 tcpdump 的输出

我想到了 farp 插件,在这里提到:https ://wiki.strongswan.org/projects/strongswan/wiki/ForwardingAndSplitTunneling但是 ARP 请求没有进入服务器,它保持在本地。

信息

服务器 ipsec.conf

客户端 ipsec.conf

Strongswan 和 charon 的配置文件中应该没有什么特别或相关的,但如果您认为这可能有用,我可以提供它们。

我在配置中采取了一些捷径:我正在使用 VirtualIP,但我没有使用 DHCP 插件或任何东西来分配 IP。我在客户端上手动设置 IP 地址,如下所示:

这是客户端的路由表(通过添加IP和Strongswann为表220自动设置):

我也玩过 iptables 和这条规则

在客户端和服务器上,因为我知道如果我已经设置了 MASQUERADE 规则,这可能是一个问题,但这并没有改变任何东西。

我还在客户端和服务器端通过 sysctl 设置了这些内核参数:

铅 1

这可能与我在客户端配置中 /32 中声明的子网有关。起初我在 /16 中声明了子网,但我无法使用此配置连接两个客户端。第二个客户自己占据了全部流量。所以我明白我应该限制流量选择器,这就是我的做法,但也许我错了。

铅 2

这可能与我手动分配 IP 的方式以及它可能在路由表中引入的混乱有关。当我使用路由表手动分配网关(如客户端的公共 IP 作为网关)时,TCPdump 中的 ARP 消失了,我看到了 ICMP 请求。但服务器上绝对没有。

对我做错了什么有任何想法吗?

谢谢

0 投票
1 回答
151 浏览

macos - 为什么 macOS IKEv2 客户端通过隧道没有得到回复?

服务器:Debian buster(4.19);强力天鹅 5.7.2

ipsec.conf

Linux 和 Windows 客户端运行良好。例如,我可以看到从客户端到服务器的 ping,如下所示:

隧道状态:

但是对于 macOS (Catalina),事情就另当别论了。我已成功建立连接:

并且只看到一种方式的数据包:

我看到和之间的区别ESP in UDP SPIs:ESP SPIs:但不明白它的含义。

我应该检查什么才能使 macOS VPN 客户端正常工作?

0 投票
1 回答
843 浏览

ipsec - strongswan IPsec 中 DPD 操作的 Hold 和 Restart 有什么区别?

问题

当我在路由器上测试 IPsec DPD 时,我发现HoldRestart都在dpdtimeout之后重新建立了 VPN 连接,所以我不明白它们之间的区别

我在strongswan的文档中找到了相关的解释,但我无法理解真正的区别

strongswan Doc - 保持

Hold 安装一个陷阱策略,它将捕获匹配的流量并尝试按需重新协商连接。

strongswan Doc - 重启

重新启动将立即触发重新协商连接的尝试。

strongswan - DPD 超时

dpdtimeout = 150s

定义超时间隔,在此之后与对等方的所有连接都将在不活动的情况下被删除。这仅适用于 IKEv1,在 IKEv2 中,默认重传超时适用,因为每个交换都用于检测死对等方。

感谢

0 投票
1 回答
923 浏览

vpn - strongswan:left和leftid有什么区别?

本教程left在设置strongswan时使用参数,而本教程也使用leftid参数。left和 和有什么不一样leftid


12345678910