Probleme la configurarea clientului strongSwan pe instanța AWS pentru VPN de la site la site

deann

25.09.2023, 16:20

Încerc să configurez un client VPN IPSec pe o instanță AWS debian-10.

Din păcate, nu am acces la serverul VPN, deoarece este configurat de o altă parte, așa că tot ceea ce știu este că mi-au spus că este configurat pentru mine. my-aws-public-ip.

Încerc să folosesc un Strongswan - Linux strongSwan U5.7.2/K4.19.0-16-cloud-amd64

Iată fișierul meu de conf:

configurare
        uniceids=nu
        charondebug="toate"

conn vpn
        tip=tunel
        keyexchange=ikev2
        agresiv=nu
        authby=secret
        auto=adăugați
        ike=aes256-sha256-modp2048!
        esp=aes256-sha256-modp2048!
        ikelifetime=28800s
        stânga=my-aws-internal-ip
        leftid=my-aws-public-ip
        leftsubnet=192.168.140.120/29
        leftsourceip=192.168.140.121
        dreapta=un alt-partid-peer-ip
        rightsubnet=rețea-tunel-altă-parte/mască
        dpddelay=300s
        dpdtimeout=120s
        dpdaction=repornire
        rekey=da
        reauth=da
        keylife=3600s
        closeaction=repornire
        encap=da
        forcecaps=da
        installpolicy=da

Cand eu sudo systemctl reporniți strongswan, primesc un serviciu activ. Cu toate acestea, se pare că nu fac parte din VPN, deoarece nu pot da ping la niciuna dintre ele rețea-tunel-altă parte adrese IP.

Folosind un IP elastic pe AWS, presupun că sunt în spatele unui NAT. Este aceasta o problemă pentru transferul pachetelor prin tunelul IPSec?

Vedeți ceva în neregulă cu fișierul meu de configurare?

Nu în ultimul rând, când mi s-a spus de către cealaltă parte că a configurat VPN-ul pentru my-aws-public-ip, am primit un fișier cu informații despre rețea - cum ar fi versiunea IKE, modul Authenticaiton, cheia predistribuită etc. . Am inserat cheia Preshared în /etc/ipsec.secrets folosind următoarea sintaxă: : PSK „cheia-mea-predistribuită” În plus, în fișierul cu informații despre rețea, se spune că au configurat informații despre lista de acces la tunel VPN pentru rețea: 192.168.140.120/29 și reguli de securitate pentru firewall pentru 192.168.140.121, de aceea am adăugat leftsubnet și leftsourceip în fișierul de configurare. Aceasta nu este subrețeaua mea AWS. Este asta o problemă? Am adăugat o interfață cu sudo ip address add 192.168.140.121/29 dev ens5, și o văd cu ip a.

Orice ajutor va fi foarte apreciat.

Mulțumiri

0 + 0

de la site la site-vpn

expediere

servicii-web-amazon

lebăda puternică

ecdsa

30.09.2023, 09:09

Cu `auto=add` conexiunea nu este inițiată automat. Schimbați-l în `start` sau `route` sau utilizați `sudo ipsec up vpn` pentru a iniția manual conexiunea. De asemenea, rețineți că `leftsourceip` este pentru negocierea dinamică a IP-urilor virtuale, nu este necesar pentru IP-uri interne statice, `leftsubnet` este suficient pentru asta.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Issues configuring strongSwan client on AWS instance for site-to-site VPN

TH: ปัญหาในการกำหนดค่าไคลเอนต์ strongSwan บนอินสแตนซ์ AWS สำหรับ VPN แบบไซต์ต่อไซต์

RO: Probleme la configurarea clientului strongSwan pe instanța AWS pentru VPN de la site la site

RU: Проблемы с настройкой клиента strongSwan на экземпляре AWS для VPN типа «сеть-сеть»

VI: Sự cố khi định cấu hình ứng dụng khách StrongSwan trên phiên bản AWS cho VPN site-to-site

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.