우분투에서 srongswan을 사용하는 L2TP/IPSec

우분투에서 srongswan을 사용하는 L2TP/IPSec

저는 strongswan우분투 16.04를 사용하여 타사 L2TP/IPSec VPN에 연결하고 있습니다.

그들은 나에게 다음과 같은 프로필 파일을 제공했습니다.

VPN connection IP : X.X.X.X

IPSEC Authentication : ---------------------
IPSEC Preshared key : SOME^"TH!NG$
L2TP authentication : 
username :  USER
password :  PASS

IPSEC Phase 1 Proposal----------------------
encryption 3DES     Authentication SHA1
encryption AES192   Authentication SHA1
encryption AES256   Authentication MD5
Diffie-Hellman Group 2
Key lifetime (seconds) 86400

IPSEC Phase 2 Proposal----------------------
Local Address 0.0.0.0/0.0.0.0
Remote Address 0.0.0.0/0.0.0.0
encryption 3DES     Authentication SHA1
encryption AES192   Authentication SHA1
encryption AES256   Authentication MD5
Key lifetime (seconds) 86400

다음과 같이 /etc/ipsec.conf를 만들었습니다.

config setup
  # strictcrlpolicy=yes
  # uniqueids = no

conn %default
  ikelifetime=60m
  keylife=20m
  rekeymargin=3m
  keyingtries=1
  keyexchange=ikev1
  authby=secret
  ike=3des-sha1,AES192-sha1,aes256-md5,modp1024!
  esp=3des-sha1,AES192-sha1,aes256-md5!

conn myvpn
  keyexchange=ikev1
  left=MY.IP.ADD.RESS
  auto=add
  authby=secret
  type=transport
  leftprotoport=17/1701
  rightprotoport=17/1701
  right=X.X.X.X

그리고 /etc/ipsec.secrets는 다음과 같습니다:

# empty line
MY.IP.ADD.RES X.X.X.X : PSK 'SOME^"TH!NG$'

(내 IP 주소: MY.IP.ADD.RES 및 원격 서버: XXXX)

$ sudo ipsec up myvpn아래와 같은 결과가 나옵니다:

initiating Main Mode IKE_SA myvpn[2] to X.X.X.X
generating ID_PROT request 0 [ SA V V V V ]
sending packet: from MY.IP.ADD.RES[500] to X.X.X.X[500] (204 bytes)
sending retransmit 1 of request message ID 0, seq 1
sending packet: from MY.IP.ADD.RES[500] to X.X.X.X[500] (204 bytes)
sending retransmit 2 of request message ID 0, seq 1

내 구성 파일에 어떤 문제가 있는지 어떻게 알 수 있나요?

주어진 프로필과 일치하지 않거나 잘못되었거나 불일치 ike합니까 ?esp

나는 이 섹션을 처음 접했습니다. 내 질문 옆에 문서에 대한 지침, 유용한 블로그 또는 특정 프로필에 대한 정보가 도움이 될 수 있습니다.

답변1

주어진 VPN 프로필과 ike(와 IPSEC Phase 1 Proposal) 및 esp(와 )를 정확하게 일치시키지 않은 것은 내 잘못입니다 .IPSEC Phase 2 Proposal

Strongswan IKEv2에 사용할 수 있는 암호화 제품군의 전체 목록은 여기에서 확인할 수 있습니다..

내 수정 사항 /etc/ipsec.conf은 다음과 같습니다.

config setup

conn %default
  ikelifetime=86400s
  keylife=86400s
  rekeymargin=3m
  keyingtries=1
  keyexchange=ikev1
  authby=secret
  ike=3des-sha1,AES192-sha1,aes256-md5,modp1024!
  esp=3des-sha1,AES192-sha1,aes256-md5!

conn myvpn
  # our public ip
  left=MY.IP.ADD.RES
  auto=add
  authby=secret
  # phase 1
  ike=3des-sha1-modp1024,aes192-sha1-modp1024,aes256-md5-modp1024
  # phase 2
  esp=3des-sha1,aes192-sha1,aes256-md5
  type=transport
  leftprotoport=17/1701
  rightprotoport=17/1701
  # remote VPN ip
  right=X.X.X.X

ipsec.conf문서 참조

관련 정보