Ubuntu

如何使用公共IP作為加密域配置strongswan點對點vpn隧道?

  • February 26, 2019

我需要配置 ipsec 隧道以與遠端 vpn (Cisco ASA 5555) 通信。我創建了一個安裝了 ubuntu 18.04 的 Amazon Lightsail 實例。在做了一些研究後,我遇到了我用來配置隧道的 Strongswan。遠端端提供了我應該用來配置隧道的參數列表,我在下面列出了它們以及在 ipsec.conf 文件中找到的設置。我的問題是,每當我向遠端端發起流量時,流量都來自我的私有 ip (aa.aa.aa.aa) 而不是我的公共 ip AA.AA.AA.AA - 因為遠端端拒絕使用我的私人ip 作為加密域(與它有關的東西已在他們的本地網路中使用)他們必須允許我的公共 ip。我如何配置 strongswan 以便遠端端看到來自我的公共 IP 的流量(這樣我們'

本地站點 A:

  • 公共IP:AA.AA.AA.AA
  • 私有 IP:aa.aa.aa.aa
  • 子網:aa.aa.aa.aa.aa/20

遠端站點 B:

  • 公共IP:BB.BB.BB.BB
  • 私網IP:bb.bb.bb.bb
  • 子網:bb.bb.bb.bb/32

配置參數:

階段1

  • 認證方式:預共享密鑰
  • 加密方案:IKE
  • DH:第 2 組
  • 加密算法:ESP-AES-256
  • 雜湊算法:SHA1
  • 主模式
  • 壽命(協商用):86400s

階段2

  • 封裝:ESP
  • 加密算法:AES-256
  • 認證算法:SHA1
  • 無 PFS
  • 壽命(協商用):3600s
  • 密鑰交換:是

任何幫助表示讚賞!


ipsec.conf卡戎日誌

我發現了一些在 ubuntu 18.04 上執行的 strongswan 問題。該服務在啟動後幾秒鐘就崩潰了,儘管事實上我在配置文件中設置了公共 IP,但 ipsec 以某種方式使用我的私有 IP 而不是我的公共 IP 進行隧道傳輸。

所以我繼續用openswan安裝了CentOS,並且使用相同的配置我能夠建立隧道。

引用自:https://serverfault.com/questions/955438