标签: strongswan

我正在尝试连接到 FortiGate 并通过 IPsec VPN 隧道访问我们的持续集成服务器。

我无法控制 FortiGate 的配置。

在我运行 Windows 10 的笔记本电脑上，我成功地使用 FortiClient 在http://ourCIserver:8080.

现在我的另一台笔记本电脑运行 Arch Linux 4.14.15，我使用strongSwan 5.6.1 来建立 IPsec 隧道。

令人鼓舞的是sudo ipsec restart，从 的最后部分来看，在调用 时似乎建立了隧道sudo ipsec statusall：

Status of IKE charon daemon (strongSwan 5.6.1, Linux 4.14.15-1-ARCH, x86_64):
  uptime: 8 seconds, since Feb 14 15:45:58 2018
  malloc: sbrk 2789376, mmap 0, used 869600, free 1919776
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 5
  loaded plugins: <omitted> …

我在 CentOS7 上安装了 Strongswan，连接到 Palo Alto 路由器。我无法访问远程路由器上的配置。我想在另一端配置两个子网——一个只有一个 IP。我在 ipsec.conf 中有这个配置：

conn %default
        keyexchange=ikev2
        authby=secret

conn net-net
        ike=aes256-sha512-modp2048!
        leftauth=psk
        left=xx.xx.xx.xx
        leftsubnet=10.255.1.0/24
        leftfirewall=yes
        rightauth=psk
        right=yy.yy.yy.yy
        auto=add
        rightsubnet=10.250.72.0/24,192.168.149.199/32

启动隧道后，我只能ping 192.168.149.199，但是10.250.72.0/24 没有hosts。如果我只配置了 10.250.72.0/24 子网，ping 就可以了。

我的版本：

[root@ipsec01 strongswan]# strongswan --version
Linux strongSwan U5.4.0/K3.10.0-514.6.1.el7.x86_64

根据手册，逗号分隔的符号应该是正确的。我应该使用什么配置？

我已经工作了一个多星期，试图让出站数据包符合安全协会的要求。

这是我的（示例）场景：

• 局域网：1.1.1.0/24
• FreeBSD 接口：xn0（Amazon EC2 实例）
• 虚拟地址到 nat 流量来自：2.2.2.2/32
• 到达目的地：3.3.3.3/32

问题描述

尽管事实上我已经在 FreeBSD Box 中启动并运行了所有 SA，但尝试使用 pf 或 ipfw 对数据包进行 nat 处理是行不通的，nat 的数据包使用默认路由接口继续流动并且没有得到进入ipsec隧道。

这是一个示例 SA，使用：

$ ipsec status vpn
vpn{1}:  INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: cca608fa_i d74355dc_o vpn{1}:  AES_CBC_256/HMAC_SHA2_256_128, 2688 bytes_i (32 pkts, 32s ago), 4992 bytes_o (32 pkts, 32s ago), rekeying in 43 minutes vpn{1}:   2.2.2.2/32 === 3.3.3.3/32

这是我的 nat 规则pf.conf：

nat on enc0 from 1.1.1.0/24 to 2.2.2.2/32 -> 3.3.3.3

这是我的ipsec0 interface …

据我了解，FreeBSD 具有建立 vpn 连接的本机能力。

strongswan 是一个包，它位于 freebsd ipsec 堆栈的顶部还是替代品？

本教程在设置strongswan时使用left参数，同时本教程也使用leftid参数。left和 和有什么区别leftid？

更新

我在 aws ec2 上设置strongswan，配置如下：

conn aws-to-corp
        authby=secret
        #left=%any
        left=52.82.6.111
        leftid=52.82.6.111
        leftsubnet=172.30.0.0/20
        right=223.71.239.218
        rightsubnet=192.168.1.0/24
        ike=3des-md5-modp1024!
        esp=3des-md5!
        keyingtries=0
        ikelifetime=1h
        lifetime=8h
        dpddelay=30
        dpdtimeout=120
        dpdaction=restart
        auto=start

当我设置时left=%any，strongswan工作正常，但是当我设置时left=52.82.6.111，出现一些错误/var/log/syslog：

谁能解释为什么会发生这种情况？