Ubuntu
如何使用公共IP作為加密域配置strongswan點對點vpn隧道?
我需要配置 ipsec 隧道以與遠端 vpn (Cisco ASA 5555) 通信。我創建了一個安裝了 ubuntu 18.04 的 Amazon Lightsail 實例。在做了一些研究後,我遇到了我用來配置隧道的 Strongswan。遠端端提供了我應該用來配置隧道的參數列表,我在下面列出了它們以及在 ipsec.conf 文件中找到的設置。我的問題是,每當我向遠端端發起流量時,流量都來自我的私有 ip (aa.aa.aa.aa) 而不是我的公共 ip AA.AA.AA.AA - 因為遠端端拒絕使用我的私人ip 作為加密域(與它有關的東西已在他們的本地網路中使用)他們必須允許我的公共 ip。我如何配置 strongswan 以便遠端端看到來自我的公共 IP 的流量(這樣我們'
本地站點 A:
- 公共IP:AA.AA.AA.AA
- 私有 IP:aa.aa.aa.aa
- 子網:aa.aa.aa.aa.aa/20
遠端站點 B:
- 公共IP:BB.BB.BB.BB
- 私網IP:bb.bb.bb.bb
- 子網:bb.bb.bb.bb/32
配置參數:
階段1
- 認證方式:預共享密鑰
- 加密方案:IKE
- DH:第 2 組
- 加密算法:ESP-AES-256
- 雜湊算法:SHA1
- 主模式
- 壽命(協商用):86400s
階段2
- 封裝:ESP
- 加密算法:AES-256
- 認證算法:SHA1
- 無 PFS
- 壽命(協商用):3600s
- 密鑰交換:是
任何幫助表示讚賞!
我發現了一些在 ubuntu 18.04 上執行的 strongswan 問題。該服務在啟動後幾秒鐘就崩潰了,儘管事實上我在配置文件中設置了公共 IP,但 ipsec 以某種方式使用我的私有 IP 而不是我的公共 IP 進行隧道傳輸。
所以我繼續用openswan安裝了CentOS,並且使用相同的配置我能夠建立隧道。