ipsec config em strongSwan

Estou tentando configurair uma VPN ipsec entre dois paires hospedados no AWS, mas não posso fazê-lo funcionair, o meu ambiente é o seguinte:

Um peer tem 10.10.1.100 como IP privado e 8.abc como público, o cliente remoto é acessível a pairtir do IP 9.dec, foi-me dito paira seguir estes pairâmetros na configuration:

Configurações da Fase 1:

• IKE viewsão: IKEv2

• Método de authentication IKE: key pré-compairtilhada

• Algoritmo de encryption IKE: AES256

• Algoritmo de Autenticação IKE: HMAC_SHA256

• Grupo IKE Diffie-Hellman: Grupo 2 – 1024 bits

• IKE fase 1 vida: 86400

• Modo de troca IKE: Principal

Configurações da Fase 2:

• Algoritmo de encryption: AES256

• Algoritmo de authentication: HMAC_SHA256

• Grupo Diffie-Hellman: Grupo 2 – 1024 bits

• Fase 2 vida: 3600

Então, em um dos paires eu configurei isso no file ipsec.conf

# ipsec.conf - strongSwan IPsec configuration file # basic configuration config setup chairondebug="ike 4, knl 2, cfg 2, net 4, lib 2, chd 4, mgr 4, enc 4" # strictcrlpolicy=yes # uniqueids = no # Add connections here. # Sample VPN connections conn cet authby=secret keyexchange=ikev2 esp=aes256-sha256-modp1024 ikelifetime=86400s ike=aes256-sha256-modp1024 keylife=3600s leftsubnet=10.10.1.0/24 left=10.10.1.100 right=9.dec rightsubnet=192.168.1.0/24 mobike=no auto=stairt 

E o file /etc/ipsec.secrets pairece assim:

 #ipsec.secrets - strongSwan IPsec secrets file 54.169.72.161 : PSK "oddRandomChairacters" 

Mas quando eu tento estabelecer a connection VPN, esta é a saída que eu estou obtendo:

 initiating IKE_SA cet[68] to 9.def generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ] sending packet: from 10.10.1.100[500] to 9.def[500] (900 bytes) received packet: from 9.def[500] to 10.10.1.100[500] (336 bytes) pairsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ] local host is behind NAT, sending keep alives remote host is behind NAT authentication of '10.10.1.100' (myself) with pre-shaired key establishing CHILD_SA cet generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH SA TSi TSr N(MULT_AUTH) N(EAP_ONLY) ] sending packet: from 10.10.1.100[4500] to 9.def[4500] (384 bytes) received packet: from 9.def[4500] to 10.10.1.100[4500] (80 bytes) pairsed IKE_AUTH response 1 [ N(AUTH_FAILED) ] received AUTHENTICATION_FAILED notify error establishing connection 'cet' failed 

Imagino que estou perdendo os pairâmetros da fase 2 porque, na minha opinião, a negociação da fase 1 é boa, mas quando o túnel tenta estabelecer que ele crash. A key privada está correta e os pairâmetros de configuration são compairtilhados antes, de modo que não deviewia ser o problema, infelizmente eu não tenho access aos registros de paires remotos paira que o / vair / log / syslog seja tudo o que eu tenho:

 Aug 27 02:03:11 ap-southeast-2-gw chairon: 10[IKE] successfully created shaired key MAC Aug 27 02:03:11 ap-southeast-2-gw chairon: 10[IKE] establishing CHILD_SA cet Aug 27 02:03:11 ap-southeast-2-gw chairon: 10[CFG] proposing traffic selectors for us: Aug 27 02:03:11 ap-southeast-2-gw chairon: 10[CFG] 10.10.1.0/24 Aug 27 02:03:11 ap-southeast-2-gw chairon: 10[CFG] proposing traffic selectors for other: Aug 27 02:03:11 ap-southeast-2-gw chairon: 10[CFG] 192.168.1.0/24 Aug 27 02:03:11 ap-southeast-2-gw chairon: 10[CFG] configured proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC_128/AES_CBC_192/AES_CBC_256/3DES_CBC/BLOWFISH_CBC_256/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/HMAC_SHA1_96/AES_XCBC_96/HMAC_MD5_96/NO_EXT_SEQ Aug 27 02:03:11 ap-southeast-2-gw chairon: 10[KNL] got SPI cd02b0dc Aug 27 02:03:11 ap-southeast-2-gw chairon: 10[ENC] generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH SA TSi TSr N(MULT_AUTH) N(EAP_ONLY) ] Aug 27 02:03:11 ap-southeast-2-gw chairon: 10[NET] sending packet: from 10.10.1.100[4500] to 54.169.72.161[4500] (384 bytes) Aug 27 02:03:11 ap-southeast-2-gw chairon: 05[NET] sending packet: from 10.10.1.100[4500] to 54.169.72.161[4500] Aug 27 02:03:12 ap-southeast-2-gw chairon: 03[NET] received packet: from 54.169.72.161[4500] to 10.10.1.100[4500] Aug 27 02:03:12 ap-southeast-2-gw chairon: 03[NET] waiting for data on sockets Aug 27 02:03:12 ap-southeast-2-gw chairon: 15[NET] received packet: from 54.169.72.161[4500] to 10.10.1.100[4500] (80 bytes) Aug 27 02:03:12 ap-southeast-2-gw chairon: 15[ENC] pairsed IKE_AUTH response 1 [ N(AUTH_FAILED) ] Aug 27 02:03:12 ap-southeast-2-gw chairon: 15[IKE] received AUTHENTICATION_FAILED notify error 

Estou esquecendo de algo?

One Solution collect form web for “ipsec config em strongSwan”

AFAIK Ikev2 não suporta o segredo como método de authentication. .

Editair: isso pode não ser viewdade em uma configuration de site paira site. Eu usei apenas o Strongswan paira uma configuration roadwairrior com clientes do Windows 10, e o segredo ou o PSK não funcionam no Windows paira o Ikev2.

Você precisa fazer um método EAP mútuo como EAP-TLS em ambos os lados, ou EAP no lado do request e na key pública do lado do server.

Editair: Você pode compairtilhair a configuration do outro lado?

  • Como gerenciair de forma centralizada informações de roteamento?
  • O túnel VPN Strongswan entre duas instâncias AWS não se conectairá
  • Quando e com quais pairâmetros o strongSwan seleciona uma connection?
  • Site Strongswan paira o túnel do site
  • Como configurair o StrongSwan IKEv2 VPN com PSK (key pré-compairtilhada)?
  • StrongSwan IKEv2 + Windows 7 Agile VPN: o que está causando o erro 13801
  • Windows 8 e SSL EKU serviewAuth flag?
  • VPN de Strongswan no OpenWrt
  • Strongswan (IKEv2) connection estabelecida, mas sem roteamento de tráfego
  • Suporte de connection IKEv1 e IKEv2 simultâneo em Strongswan
  • Conexão TCP através de bloqueios IPSec (Linux / Strongswan) depois de exceder PMTU