L2TP/IPSec mit Srongswan in Ubuntu

L2TP/IPSec mit Srongswan in Ubuntu

Ich verwende strongswanUbuntu 16.04, um eine Verbindung zu einem L2TP/IPSec-VPN eines Drittanbieters herzustellen.

Sie haben mir eine Profildatei wie diese zur Verfügung gestellt:

VPN connection IP : X.X.X.X

IPSEC Authentication : ---------------------
IPSEC Preshared key : SOME^"TH!NG$
L2TP authentication : 
username :  USER
password :  PASS

IPSEC Phase 1 Proposal----------------------
encryption 3DES     Authentication SHA1
encryption AES192   Authentication SHA1
encryption AES256   Authentication MD5
Diffie-Hellman Group 2
Key lifetime (seconds) 86400

IPSEC Phase 2 Proposal----------------------
Local Address 0.0.0.0/0.0.0.0
Remote Address 0.0.0.0/0.0.0.0
encryption 3DES     Authentication SHA1
encryption AES192   Authentication SHA1
encryption AES256   Authentication MD5
Key lifetime (seconds) 86400

Ich habe /etc/ipsec.conf wie folgt erstellt:

config setup
  # strictcrlpolicy=yes
  # uniqueids = no

conn %default
  ikelifetime=60m
  keylife=20m
  rekeymargin=3m
  keyingtries=1
  keyexchange=ikev1
  authby=secret
  ike=3des-sha1,AES192-sha1,aes256-md5,modp1024!
  esp=3des-sha1,AES192-sha1,aes256-md5!

conn myvpn
  keyexchange=ikev1
  left=MY.IP.ADD.RESS
  auto=add
  authby=secret
  type=transport
  leftprotoport=17/1701
  rightprotoport=17/1701
  right=X.X.X.X

und /etc/ipsec.secrets wie:

# empty line
MY.IP.ADD.RES X.X.X.X : PSK 'SOME^"TH!NG$'

(meine IP-Adresse: MY.IP.ADD.RES und Remote-Server: XXXX)

$ sudo ipsec up myvpnErgebnisse wie unten:

initiating Main Mode IKE_SA myvpn[2] to X.X.X.X
generating ID_PROT request 0 [ SA V V V V ]
sending packet: from MY.IP.ADD.RES[500] to X.X.X.X[500] (204 bytes)
sending retransmit 1 of request message ID 0, seq 1
sending packet: from MY.IP.ADD.RES[500] to X.X.X.X[500] (204 bytes)
sending retransmit 2 of request message ID 0, seq 1

Wie finde ich heraus, was mit meiner Konfigurationsdatei nicht stimmt?

Ist ikees espfalsch oder passt es nicht zum angegebenen Profil?

Ich bin neu in diesem Bereich. Neben meiner Frage könnten mir alle Hinweise zu Dokumenten, hilfreichen Blogs oder Informationen zu dem angegebenen Profil helfen.

Antwort1

ikeEs war mein Fehler, dass ich (mit IPSEC Phase 1 Proposal) und esp(mit IPSEC Phase 2 Proposal) nicht genau mit dem angegebenen VPN-Profil übereinstimmte :

Die vollständige Liste der für Strongswan IKEv2 verfügbaren Cipher Suites finden Sie hier..

Meine Korrektur /etc/ipsec.conflautet:

config setup

conn %default
  ikelifetime=86400s
  keylife=86400s
  rekeymargin=3m
  keyingtries=1
  keyexchange=ikev1
  authby=secret
  ike=3des-sha1,AES192-sha1,aes256-md5,modp1024!
  esp=3des-sha1,AES192-sha1,aes256-md5!

conn myvpn
  # our public ip
  left=MY.IP.ADD.RES
  auto=add
  authby=secret
  # phase 1
  ike=3des-sha1-modp1024,aes192-sha1-modp1024,aes256-md5-modp1024
  # phase 2
  esp=3des-sha1,aes192-sha1,aes256-md5
  type=transport
  leftprotoport=17/1701
  rightprotoport=17/1701
  # remote VPN ip
  right=X.X.X.X

ipsec.confDokumentationsreferenz

verwandte Informationen