Я использую strongswan
на Ubuntu 16.04 для подключения к третьей стороне L2TP / IPSec VPN.
Они предоставили мне файл профиля, как это:
VPN connection IP : X.X.X.X
IPSEC Authentication : ---------------------
IPSEC Preshared key : SOME^"TH!NG$
L2TP authentication :
username : USER
password : PASS
IPSEC Phase 1 Proposal----------------------
encryption 3DES Authentication SHA1
encryption AES192 Authentication SHA1
encryption AES256 Authentication MD5
Diffie-Hellman Group 2
Key lifetime (seconds) 86400
IPSEC Phase 2 Proposal----------------------
Local Address 0.0.0.0/0.0.0.0
Remote Address 0.0.0.0/0.0.0.0
encryption 3DES Authentication SHA1
encryption AES192 Authentication SHA1
encryption AES256 Authentication MD5
Key lifetime (seconds) 86400
Я создал /etc/ipsec.conf так:
config setup
# strictcrlpolicy=yes
# uniqueids = no
conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyingtries=1
keyexchange=ikev1
authby=secret
ike=3des-sha1,AES192-sha1,aes256-md5,modp1024!
esp=3des-sha1,AES192-sha1,aes256-md5!
conn myvpn
keyexchange=ikev1
left=MY.IP.ADD.RESS
auto=add
authby=secret
type=transport
leftprotoport=17/1701
rightprotoport=17/1701
right=X.X.X.X
и /etc/ipsec.secrets, например:
# empty line
MY.IP.ADD.RES X.X.X.X : PSK 'SOME^"TH!NG$'
(мой IP-адрес: MY.IP.ADD.RES и удаленный сервер: XXXX)
$ sudo ipsec up myvpn
результаты как ниже:
initiating Main Mode IKE_SA myvpn[2] to X.X.X.X
generating ID_PROT request 0 [ SA V V V V ]
sending packet: from MY.IP.ADD.RES[500] to X.X.X.X[500] (204 bytes)
sending retransmit 1 of request message ID 0, seq 1
sending packet: from MY.IP.ADD.RES[500] to X.X.X.X[500] (204 bytes)
sending retransmit 2 of request message ID 0, seq 1
Как мне узнать, что не так с моим конфигурационным файлом?
Является ли ike
или esp
неправильно или несоответствие с данным профилем?
Я новичок в этом разделе, кроме моего вопроса, мне могут помочь любые указания к документам, полезным блогам или информации о данном профиле.
Ответы:
Это была моя ошибка, что я не соответствовал
ike
(сIPSEC Phase 1 Proposal
) иesp
(сIPSEC Phase 2 Proposal
) точно с данным профилем VPN:Полный список Cipher Suites, доступных для strongswan IKEv2, доступен здесь .
Мое исправлено
/etc/ipsec.conf
:ipsec.conf
ссылка на документациюисточник