L2TP/IPSec usando srongswan no Ubuntu

L2TP/IPSec usando srongswan no Ubuntu

Estou usando strongswano Ubuntu 16.04 para conectar-me a uma VPN L2TP/IPSec de terceiros.

Eles me forneceram um arquivo de perfil como este:

VPN connection IP : X.X.X.X

IPSEC Authentication : ---------------------
IPSEC Preshared key : SOME^"TH!NG$
L2TP authentication : 
username :  USER
password :  PASS

IPSEC Phase 1 Proposal----------------------
encryption 3DES     Authentication SHA1
encryption AES192   Authentication SHA1
encryption AES256   Authentication MD5
Diffie-Hellman Group 2
Key lifetime (seconds) 86400

IPSEC Phase 2 Proposal----------------------
Local Address 0.0.0.0/0.0.0.0
Remote Address 0.0.0.0/0.0.0.0
encryption 3DES     Authentication SHA1
encryption AES192   Authentication SHA1
encryption AES256   Authentication MD5
Key lifetime (seconds) 86400

Eu criei /etc/ipsec.conf assim:

config setup
  # strictcrlpolicy=yes
  # uniqueids = no

conn %default
  ikelifetime=60m
  keylife=20m
  rekeymargin=3m
  keyingtries=1
  keyexchange=ikev1
  authby=secret
  ike=3des-sha1,AES192-sha1,aes256-md5,modp1024!
  esp=3des-sha1,AES192-sha1,aes256-md5!

conn myvpn
  keyexchange=ikev1
  left=MY.IP.ADD.RESS
  auto=add
  authby=secret
  type=transport
  leftprotoport=17/1701
  rightprotoport=17/1701
  right=X.X.X.X

e /etc/ipsec.secrets como:

# empty line
MY.IP.ADD.RES X.X.X.X : PSK 'SOME^"TH!NG$'

(meu endereço IP: MY.IP.ADD.RES e servidor remoto: XXXX)

$ sudo ipsec up myvpnresultados como abaixo:

initiating Main Mode IKE_SA myvpn[2] to X.X.X.X
generating ID_PROT request 0 [ SA V V V V ]
sending packet: from MY.IP.ADD.RES[500] to X.X.X.X[500] (204 bytes)
sending retransmit 1 of request message ID 0, seq 1
sending packet: from MY.IP.ADD.RES[500] to X.X.X.X[500] (204 bytes)
sending retransmit 2 of request message ID 0, seq 1

Como devo descobrir o que há de errado com meu arquivo de configuração?

Está ikeerrado espou incompatível com determinado perfil?

Sou novo nesta seção, além da minha pergunta, quaisquer instruções para documentos, blogs úteis ou informações sobre determinado perfil podem me ajudar.

Responder1

Foi minha culpa não corresponder ike(with IPSEC Phase 1 Proposal) e esp(with IPSEC Phase 2 Proposal) exatamente com determinado perfil VPN:

A lista completa de Cipher Suites disponíveis para Strongswan IKEv2 está disponível aqui.

Meu corrigido /etc/ipsec.confé:

config setup

conn %default
  ikelifetime=86400s
  keylife=86400s
  rekeymargin=3m
  keyingtries=1
  keyexchange=ikev1
  authby=secret
  ike=3des-sha1,AES192-sha1,aes256-md5,modp1024!
  esp=3des-sha1,AES192-sha1,aes256-md5!

conn myvpn
  # our public ip
  left=MY.IP.ADD.RES
  auto=add
  authby=secret
  # phase 1
  ike=3des-sha1-modp1024,aes192-sha1-modp1024,aes256-md5-modp1024
  # phase 2
  esp=3des-sha1,aes192-sha1,aes256-md5
  type=transport
  leftprotoport=17/1701
  rightprotoport=17/1701
  # remote VPN ip
  right=X.X.X.X

ipsec.confreferência de documentação

informação relacionada