
Estou usando strongswan
o Ubuntu 16.04 para conectar-me a uma VPN L2TP/IPSec de terceiros.
Eles me forneceram um arquivo de perfil como este:
VPN connection IP : X.X.X.X
IPSEC Authentication : ---------------------
IPSEC Preshared key : SOME^"TH!NG$
L2TP authentication :
username : USER
password : PASS
IPSEC Phase 1 Proposal----------------------
encryption 3DES Authentication SHA1
encryption AES192 Authentication SHA1
encryption AES256 Authentication MD5
Diffie-Hellman Group 2
Key lifetime (seconds) 86400
IPSEC Phase 2 Proposal----------------------
Local Address 0.0.0.0/0.0.0.0
Remote Address 0.0.0.0/0.0.0.0
encryption 3DES Authentication SHA1
encryption AES192 Authentication SHA1
encryption AES256 Authentication MD5
Key lifetime (seconds) 86400
Eu criei /etc/ipsec.conf assim:
config setup
# strictcrlpolicy=yes
# uniqueids = no
conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyingtries=1
keyexchange=ikev1
authby=secret
ike=3des-sha1,AES192-sha1,aes256-md5,modp1024!
esp=3des-sha1,AES192-sha1,aes256-md5!
conn myvpn
keyexchange=ikev1
left=MY.IP.ADD.RESS
auto=add
authby=secret
type=transport
leftprotoport=17/1701
rightprotoport=17/1701
right=X.X.X.X
e /etc/ipsec.secrets como:
# empty line
MY.IP.ADD.RES X.X.X.X : PSK 'SOME^"TH!NG$'
(meu endereço IP: MY.IP.ADD.RES e servidor remoto: XXXX)
$ sudo ipsec up myvpn
resultados como abaixo:
initiating Main Mode IKE_SA myvpn[2] to X.X.X.X
generating ID_PROT request 0 [ SA V V V V ]
sending packet: from MY.IP.ADD.RES[500] to X.X.X.X[500] (204 bytes)
sending retransmit 1 of request message ID 0, seq 1
sending packet: from MY.IP.ADD.RES[500] to X.X.X.X[500] (204 bytes)
sending retransmit 2 of request message ID 0, seq 1
Como devo descobrir o que há de errado com meu arquivo de configuração?
Está ike
errado esp
ou incompatível com determinado perfil?
Sou novo nesta seção, além da minha pergunta, quaisquer instruções para documentos, blogs úteis ou informações sobre determinado perfil podem me ajudar.
Responder1
Foi minha culpa não corresponder ike
(with IPSEC Phase 1 Proposal
) e esp
(with IPSEC Phase 2 Proposal
) exatamente com determinado perfil VPN:
A lista completa de Cipher Suites disponíveis para Strongswan IKEv2 está disponível aqui.
Meu corrigido /etc/ipsec.conf
é:
config setup
conn %default
ikelifetime=86400s
keylife=86400s
rekeymargin=3m
keyingtries=1
keyexchange=ikev1
authby=secret
ike=3des-sha1,AES192-sha1,aes256-md5,modp1024!
esp=3des-sha1,AES192-sha1,aes256-md5!
conn myvpn
# our public ip
left=MY.IP.ADD.RES
auto=add
authby=secret
# phase 1
ike=3des-sha1-modp1024,aes192-sha1-modp1024,aes256-md5-modp1024
# phase 2
esp=3des-sha1,aes192-sha1,aes256-md5
type=transport
leftprotoport=17/1701
rightprotoport=17/1701
# remote VPN ip
right=X.X.X.X