
Ich verwende strongswan
Ubuntu 16.04, um eine Verbindung zu einem L2TP/IPSec-VPN eines Drittanbieters herzustellen.
Sie haben mir eine Profildatei wie diese zur Verfügung gestellt:
VPN connection IP : X.X.X.X
IPSEC Authentication : ---------------------
IPSEC Preshared key : SOME^"TH!NG$
L2TP authentication :
username : USER
password : PASS
IPSEC Phase 1 Proposal----------------------
encryption 3DES Authentication SHA1
encryption AES192 Authentication SHA1
encryption AES256 Authentication MD5
Diffie-Hellman Group 2
Key lifetime (seconds) 86400
IPSEC Phase 2 Proposal----------------------
Local Address 0.0.0.0/0.0.0.0
Remote Address 0.0.0.0/0.0.0.0
encryption 3DES Authentication SHA1
encryption AES192 Authentication SHA1
encryption AES256 Authentication MD5
Key lifetime (seconds) 86400
Ich habe /etc/ipsec.conf wie folgt erstellt:
config setup
# strictcrlpolicy=yes
# uniqueids = no
conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyingtries=1
keyexchange=ikev1
authby=secret
ike=3des-sha1,AES192-sha1,aes256-md5,modp1024!
esp=3des-sha1,AES192-sha1,aes256-md5!
conn myvpn
keyexchange=ikev1
left=MY.IP.ADD.RESS
auto=add
authby=secret
type=transport
leftprotoport=17/1701
rightprotoport=17/1701
right=X.X.X.X
und /etc/ipsec.secrets wie:
# empty line
MY.IP.ADD.RES X.X.X.X : PSK 'SOME^"TH!NG$'
(meine IP-Adresse: MY.IP.ADD.RES und Remote-Server: XXXX)
$ sudo ipsec up myvpn
Ergebnisse wie unten:
initiating Main Mode IKE_SA myvpn[2] to X.X.X.X
generating ID_PROT request 0 [ SA V V V V ]
sending packet: from MY.IP.ADD.RES[500] to X.X.X.X[500] (204 bytes)
sending retransmit 1 of request message ID 0, seq 1
sending packet: from MY.IP.ADD.RES[500] to X.X.X.X[500] (204 bytes)
sending retransmit 2 of request message ID 0, seq 1
Wie finde ich heraus, was mit meiner Konfigurationsdatei nicht stimmt?
Ist ike
es esp
falsch oder passt es nicht zum angegebenen Profil?
Ich bin neu in diesem Bereich. Neben meiner Frage könnten mir alle Hinweise zu Dokumenten, hilfreichen Blogs oder Informationen zu dem angegebenen Profil helfen.
Antwort1
ike
Es war mein Fehler, dass ich (mit IPSEC Phase 1 Proposal
) und esp
(mit IPSEC Phase 2 Proposal
) nicht genau mit dem angegebenen VPN-Profil übereinstimmte :
Die vollständige Liste der für Strongswan IKEv2 verfügbaren Cipher Suites finden Sie hier..
Meine Korrektur /etc/ipsec.conf
lautet:
config setup
conn %default
ikelifetime=86400s
keylife=86400s
rekeymargin=3m
keyingtries=1
keyexchange=ikev1
authby=secret
ike=3des-sha1,AES192-sha1,aes256-md5,modp1024!
esp=3des-sha1,AES192-sha1,aes256-md5!
conn myvpn
# our public ip
left=MY.IP.ADD.RES
auto=add
authby=secret
# phase 1
ike=3des-sha1-modp1024,aes192-sha1-modp1024,aes256-md5-modp1024
# phase 2
esp=3des-sha1,aes192-sha1,aes256-md5
type=transport
leftprotoport=17/1701
rightprotoport=17/1701
# remote VPN ip
right=X.X.X.X