我们需要访问位于客户端的几台 Linux 机器。我们需要访问客户端计算机的 Linux 计算机位于云端。
要建立的连接是站点到站点 VPN。
通过'命令重新启动 ipsec 服务时,sudo service ipsec restart连接因收到错误而结束,哈希有效负载与计算值不匹配
不过,我们已经重新验证了该密钥是否ipsec.secrets具有正确的密钥,因为它是由客户共享的。另外,在运行命令时,sudo ipsec auto --up vpncli 会挂起。
作为网络方面的新手,我分享了我认为可能与错误相关的大部分输出。如果需要更多信息,请告诉我。
现将相关信息分享如下:
/var/log/secureipsec服务启动时完成登录ipsec.confipsec.secretsipsec.verifyifconfigipsec 服务重启的输出
[root@gbox-1 ~]# service ipsec restart
ipsec_setup: Stopping Openswan IPsec...
ipsec_setup: Starting Openswan IPsec 2.6.32...
ipsec_setup: No KLIPS support found while requested, desperately falling back to netkey
ipsec_setup: NETKEY support found. Use protostack=netkey in /etc/ipsec.conf to …我有一个运行 Ubuntu 14 的虚拟设备,我想通过 Meraki 客户端 VPN 连接到远程网络。
我找到了在 Ubuntu 16 上安装和配置 Strongswan 和 xl2tpd 的说明,这些说明让我完成了大部分工作,但在建立 VPN 后,我似乎无法建立路由。
目标是允许流量通过 VPN 从该单个 Ubuntu VM 传输到远程 LAN 上的子网。
(Ubuntu 192.168.5.99/32) =VPN> (Meraki 设备 20.20.20.20) => (子网 192.168.1.0/24)
https://gist.github.com/psanford/42c550a1a6ad3cb70b13e4aaa94ddb1c http://www.jasonernst.com/2016/06/21/l2tp-ipsec-vpn-on-ubuntu-16-04/
/etc/ipsec.conf:
# ipsec.conf - strongSwan IPsec configuration file
# basic configuration
config setup
# strictcrlpolicy=yes
# uniqueids = no
# Add connections here.
# Sample VPN connections
conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyingtries=1
keyexchange=ikev1
authby=secret
ike=aes128-sha1-modp1024,3des-sha1-modp1024!
esp=aes128-sha1-modp1024,3des-sha1-modp1024!
conn meraki-vpn
keyexchange=ikev1
left=%defaultroute
auto=add
authby=secret …我正在尝试使用 OpenSwan 与 FortiGate 路由器建立 IPsec 连接。FortiGate 位于两个不同的子网中,我需要访问这两个子网。在 FortiGate 中,我定义了一个阶段 1 连接和一个阶段 2 连接。这使我能够成功连接到其中一个子网。
我需要能够同时访问两个子网。公认的智慧似乎是在 OpenSwan 中创建两个单独的连接(每个子网一个),并且在建立附加连接时,它将自动尝试重用现有的第 1 阶段隧道(在为附加连接创建新的第 2 阶段隧道时)。
当我启动这两个连接时,根据日志,OpenSwan 似乎陷入了尝试依次重新协商每个连接的连续循环中(我每次只能 ping 一个子网)。我猜测这是因为 FortiGate 在尝试新连接时会断开现有连接。
我有以下问题:
我应该如何配置 FortiGate 以允许来自同一 IPsec 启动器的两个并发连接(每个子网一个连接)?这可能吗?(文档对此似乎有点含糊。)
我是否需要专门将 FortiGate 中的第 2 阶段连接关联到特定子网,如果是这样,我该如何执行此操作?
在同一端点之间建立多个 IPsec VPN 连接时是否存在任何问题/陷阱?
我已经成功建立了一个 IPsec 连接,但它只能部分工作。一侧不通过隧道发送数据包。这边好像网络拓扑不清楚。
任何帮助表示高度赞赏!谢谢!!
这是网络方案:
"office"(192.168.73.0/24) == "vpn"(192.168.73.1) == "router"(6.6.6.6) <====> "server"(7.7.7.7) == "VM_LAN"(192.168.133.0/24)
6.6.6.6 和 7.7.7.7 是象征性的公共 IP,即“路由器”和“服务器”都直接连接到互联网。
“vpn”和“server”都运行 CentOS 6。“router”是一个电缆调制解调器,执行 NAT 和端口转发。
连接已建立。
在“vpn”上我可以ping“服务器”的内部IP:
[root@vpn]# ping 192.168.133.1
PING 192.168.133.1 (192.168.133.1) 56(84) bytes of data.
64 bytes from 192.168.133.1: icmp_seq=1 ttl=64 time=74.8 ms
在“服务器”上,我无法 ping 通“vpn”,甚至没有发送数据包。
以下是来自“服务器”的转储,显示上面的 ping 数据包进入。当从“服务器”ping 时,我使用相同的命令来测试数据包是否从“服务器”发送到“vpn”,但没有显示数据包。
[root@server]# tcpdump port 500 or port 4500
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes …我正在尝试在 CentOS 6.5(最终版)上设置 OpenSwan(2.6.32) 以连接 Amazon 云上的远程 VPC 网关。我把隧道弄起来了。但是,仅路由来自/到 leftsubnets 中定义的最后一个 ip 范围的流量。第一个工作一秒钟(可能在第二个隧道启动之前),然后不再路由。下面是我的配置。
conn aws-vpc
leftsubnets={10.43.4.0/24 10.43.6.0/24}
rightsubnet=10.43.7.0/24
auto=start
left=206.191.2.xxx
right=72.21.209.xxx
rightid=72.21.209.xxx
leftid=206.191.2.xxx
leftsourceip=10.43.6.128
authby=secret
ike=aes128-sha1;modp1024
phase2=esp
phase2alg=aes128-sha1;modp1024
aggrmode=no
ikelifetime=8h
salifetime=1h
dpddelay=10
dpdtimeout=40
dpdaction=restart
type=tunnel
forceencaps=yes
启动 IPsec 服务后:
# service ipsec status
IPsec running - pluto pid: 8601
pluto pid 8601
2 tunnels up
some eroutes exist
# ip xfrm policy
src 10.43.6.0/24 dst 10.43.7.0/24
dir out priority 2344 ptype main
tmpl src 206.191.2.xxx dst 72.21.209.xxx
proto esp reqid …