无法在Cisco 3900和strongSwan客户端之间建立站点到站点vpn连接
无法在Cisco 3900和strongSwan客户端之间建立站点到站点vpn连接
提问于 2016-09-06 15:35:11
我有网站,显示数据,从gsm调制解调器接收。因此,我试图连接我的网站与GSM网络提供商使用vpn。
提供者端有一个Cisco 3900,配置为站点到站点的vpn服务器,我这边在debian上安装了strongswan,并配置为客户端。
我正在为客户端配置http://www.cisco.com/c/en/us/support/docs/ip/internet-key-exchange-ike/117258-config-l2l.html使用本指南。
对GSM网络提供商的侧配置如下:
- VPN设备版本: Cisco 3900
- VPN模块: DES+3DES+AES
- VPN网关IP:"VpnGatewayIP“
- 使用VPN的主机: 10.248.64.0/20
隧道信息
第一阶段(IKE)
- 身份验证方法:预共享密钥
- 加密模式: IKE
- 完美的前向保密- IKE: DH Group-5
- 加密算法: AES256
- 哈希算法: SHA1
- 每隔86400秒重新谈判一次IKE SA
第二阶段(IPSEC)
- IPSec:特别是
- 完美前向保密-IPSEC: DH Group-5
- 加密算法IPSec: AES256
- 哈希算法IPSec: SHA1
- 每隔3600秒重新协商IPSec SA
- 攻击模式:不使用
这是我的配置文件/etc/ipsec.conf的内容
config setup
strictcrlpolicy=no
charondebug="ike 1, knl 2, cfg 0"
conn %default
ikelifetime=1440m
keylife=60m
rekeymargin=3m
keyingtries=1
keyexchange=ikev1
authby=secret
conn "providerVPN"
left=MyServerIP
leftsubnet=MyServerIP/32
leftid=MyServerIP
leftfirewall=yes
right=VpnGatewayIP
rightsubnet=10.248.64.0/20
rightid=VpnGatewayIP
auto=add
ike=aes256-sha1-modp1536
esp=aes256-sha1和PSK文件/etc/ipsec.security
MyServerIP VpnGatewayIP : PSK someSecretKey像这样启动客户
/etc/init.d/ipsec start在此之后,ifconfig没有显示任何新连接,"ipsec状态“给出了输出。
Security Associations (0 up, 0 connecting):
none有一个来自/var/ log /daemon.log的日志
Sep 6 17:54:12 gmapfish ipsec[1221]: ipsec starter stopped
Sep 6 17:54:15 gmapfish ipsec[1320]: Starting strongSwan 5.2.1 IPsec [starter]...
Sep 6 17:54:15 gmapfish charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.2.1, Linux 3.16.0-4-686-pae, i686)
Sep 6 17:54:15 gmapfish charon: 00[KNL] known interfaces and IP addresses:
Sep 6 17:54:15 gmapfish charon: 00[KNL] lo
Sep 6 17:54:15 gmapfish charon: 00[KNL] 127.0.0.1
Sep 6 17:54:15 gmapfish charon: 00[KNL] ::1
Sep 6 17:54:15 gmapfish charon: 00[KNL] eth0
Sep 6 17:54:15 gmapfish charon: 00[KNL] "MyServerIP"
Sep 6 17:54:15 gmapfish charon: 00[KNL] 10.19.0.5
Sep 6 17:54:15 gmapfish charon: 00[KNL] df80::501:a8ef:ef9f:a321
Sep 6 17:54:15 gmapfish charon: 00[LIB] loaded plugins: charon aes rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm attr kernel-netlink resolve socket-default stroke updown
Sep 6 17:54:15 gmapfish charon: 00[LIB] unable to load 3 plugin features (3 due to unmet dependencies)
Sep 6 17:54:15 gmapfish charon: 00[LIB] dropped capabilities, running as uid 0, gid 0
Sep 6 17:54:15 gmapfish charon: 00[JOB] spawning 16 worker threads
Sep 6 17:54:15 gmapfish charon: 07[KNL] "VpnGatewayIP" is not a local address or the interface is down
Sep 6 17:54:15 gmapfish ipsec[1320]: charon (1348) started after 60 ms我的设置有什么问题吗?
回答 1
Server Fault用户
回答已采纳
发布于 2016-09-08 21:22:30
最后,我找到了解决问题的方法,这只是配置问题。
而不是auto=add,而必须有auto=start和esp=ese256-sha1必须esp=are256-sha1- must 1536。
我还添加了db参数,但对于工作,它是可选的。如果您只更改了这两个参数,它就会工作。
最后的工作配置如下所示。
# ipsec.conf - strongSwan IPsec configuration file
# basic configuration
config setup
charondebug="ike 4, knl 4, cfg 4, net 4, esp 4, dmn 4, mgr 4"
#uniqueids = no
conn %default
ikelifetime=1440m
keylife=60m
rekeymargin=3m
keyingtries=1
mobike=no
keyexchange=ikev1
dpdaction=clear
dpddelay=200s
conn "providerVPN"
type=tunnel
auto=start
aggressive=no
esp=aes256-sha1-modp1536
ike=aes256-sha1-modp1536
right=VpnGatewayIP
rightsubnet=10.248.64.0/20
rightid=VpnGatewayIP
rightauth=psk
left=MyServerIP
leftsubnet=MyServerIP/32
leftid=MyServerIP
leftauth=psk
dpddelay=30s
dpdaction=hold
dpdtimeout=120s
ikelifetime=86400s
lifetime=86400s页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/801375
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号