Строю тут IPSec Site-to-site VPN-тунель в облако одного небезизвестного провайдра. Прочитал интсрукцию как это все правильно делается, поставил в облаке убунточку, накатил туда OpenSwan и настроил все как в инструкции. Со стороны нашего офиса стоит такой же Linux, только StrongSwan.
Казалось бы, ничего особенного. Но тунель упорно не строится. Убунточка за НАТом. Конечно, я учел это в конфигурациях обоих роутеров и поставил параметр
nat_traversal=yes
вот конфиг офисного StrongSwan
conn mycon
left=<mypublicip>
leftsubnet=172.16.0.0/24
right=<mycloudip>
rightsubnet=10.240.82.0/24
ike=3des-md5-modp1024
esp=aes128-md5
type=tunnel
authby=secret
auto=start
pfs=no
вот конфиг облачного OpenSwan
conn mycon
right=<mypublicip>
rightsubnet=172.16.0.0/24
rightnexthop=%defaultroute
left=10.240.82.13
leftsubnet=10.240.82.0/24
leftnexthop=%defaultroute
type=tunnel
authby=secret
auto=start
pfs=no
В настройках NAT и списков доступа в конфигурялке провайдера облака разрешил весь трафик с офисного адреса на публичный адрес облачного сервера.
В логах офисного сервера только
Nov 14 17:47:24 debian charon: 10[IKE] initiating IKE_SA mycon[2] to <myIP>
вывод ipsec auto status на облачном сервере пишет
000 «mycon»: myip=unset; hisip=unset;
000 «mycon»: ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 «mycon»: policy: PSK+ENCRYPT+TUNNEL+UP+IKEv2ALLOW+SAREFTRACK+lKOD+rKOD; prio: 24,24; interface: eth0;
000 «mycon»: newest ISAKMP SA: #0; newest IPsec SA: #0;
000
000 #1: «mycon»:500 STATE_MAIN_I1 (sent MI1, expecting MR1); EVENT_RETRANSMIT in 3s; nodpd; idle; import:admin initiate
000 #1: pending Phase 2 for «mycon» replacing #0
Похоже, что пакеты отправляются, но ответы не приходят.
Грешу на то, что список доступа не пускает. И вообще, эта схема с НАТом какая-то неправильная. Но пинги бегают, вроде все рабоает. Или есть какие-то нюансы в настройке между StrongSwan и OpenSwan? А может это руки у меня кривые? Кто-то настраивал подобную схему?
Any ideas?
