我有网站,它显示从 gsm 调制解调器接收的数据。所以我正在尝试使用 vpn 将我的网站连接到 GSM 网络提供商。
提供商方面有一个 Cisco 3900,配置为站点到站点的 vpn 服务器,而我这边我在 debian linux 上安装了 strongswan 并配置为客户端。
我正在使用本指南进行客户端配置 http://www.cisco.com/c/en/us/support/docs/ip/internet-key-exchange-ike/117258-config-l2l.html
在 GSM 网络提供商端配置是这样的:
- VPN设备版本:Cisco 3900
- VPN 模块:DES+3DES+AES
- VPN 网关 IP:“VpnGatewayIP”
- 使用 VPN 的主机:10.248.64.0/20
隧道信息
第 1 阶段 (IKE)
- 认证方式:预共享密钥
- 加密模式:IKE
- 完美前向保密 - IKE:DH Group-5
- 加密算法:AES256
- 哈希算法:SHA1
- 每隔:86400 秒重新协商 IKE SA
第 2 阶段 (IPSEC)
- IPSec:ESP
- 完美前向保密-IPSEC:DH Group-5
- 加密算法 IPSec:AES256
- 散列算法 IPSec:SHA1
- 每隔:3600 秒重新协商 IPSec SA
- 激进模式:未使用
这是我的配置文件 /etc/ipsec.conf 的内容
config setup
strictcrlpolicy=no
charondebug="ike 1, knl 2, cfg 0"
conn %default
ikelifetime=1440m
keylife=60m
rekeymargin=3m
keyingtries=1
keyexchange=ikev1
authby=secret
conn "providerVPN"
left=MyServerIP
leftsubnet=MyServerIP/32
leftid=MyServerIP
leftfirewall=yes
right=VpnGatewayIP
rightsubnet=10.248.64.0/20
rightid=VpnGatewayIP
auto=add
ike=aes256-sha1-modp1536
esp=aes256-sha1
和 PSK 文件 /etc/ipsec.secrets
MyServerIP VpnGatewayIP : PSK someSecretKey
像这样开始客户
/etc/init.d/ipsec start
在此 ifconfig 没有显示任何新连接之后,“ipsec status”给了我输出
Security Associations (0 up, 0 connecting):
none
有来自 /var/log/daemon.log 的日志
Sep 6 17:54:12 gmapfish ipsec[1221]: ipsec starter stopped
Sep 6 17:54:15 gmapfish ipsec[1320]: Starting strongSwan 5.2.1 IPsec [starter]...
Sep 6 17:54:15 gmapfish charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.2.1, Linux 3.16.0-4-686-pae, i686)
Sep 6 17:54:15 gmapfish charon: 00[KNL] known interfaces and IP addresses:
Sep 6 17:54:15 gmapfish charon: 00[KNL] lo
Sep 6 17:54:15 gmapfish charon: 00[KNL] 127.0.0.1
Sep 6 17:54:15 gmapfish charon: 00[KNL] ::1
Sep 6 17:54:15 gmapfish charon: 00[KNL] eth0
Sep 6 17:54:15 gmapfish charon: 00[KNL] "MyServerIP"
Sep 6 17:54:15 gmapfish charon: 00[KNL] 10.19.0.5
Sep 6 17:54:15 gmapfish charon: 00[KNL] df80::501:a8ef:ef9f:a321
Sep 6 17:54:15 gmapfish charon: 00[LIB] loaded plugins: charon aes rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm attr kernel-netlink resolve socket-default stroke updown
Sep 6 17:54:15 gmapfish charon: 00[LIB] unable to load 3 plugin features (3 due to unmet dependencies)
Sep 6 17:54:15 gmapfish charon: 00[LIB] dropped capabilities, running as uid 0, gid 0
Sep 6 17:54:15 gmapfish charon: 00[JOB] spawning 16 worker threads
Sep 6 17:54:15 gmapfish charon: 07[KNL] "VpnGatewayIP" is not a local address or the interface is down
Sep 6 17:54:15 gmapfish ipsec[1320]: charon (1348) started after 60 ms
有什么建议我的设置有什么问题吗?
最后我找到了我的问题的解决方案,这只是配置问题。
而不是auto=add必须是auto=start并且esp=aes256-sha1必须是esp=aes256-sha1-modp1536
我还添加了 db 参数,但对于工作它是可选的。如果仅更改这两个参数,它将起作用。
最终的工作配置是这样的。