ipsec не подключается к другому серверу

0

1

есть сервер на котором настроено ipsec (strongswan), когда клиент подключается и закидывает свои файлики, но теперь надо, что с сервера был другой коннект, который будет подключаться к клиенту

добавил новый коннект

conn hyper_new
        authby=secret

        left=1.2.3.4
        leftid=1.2.3.4
        leftsubnet=10.252.61.31/32

        right=5.6.7.8
        rightid=5.6.7.8
        rightsubnet=10.10.10.10/32

        auto=start
        esp=aes256-sha1-modp1024
        ike=aes256-sha
        keyexchange=ikev1

где 1.2.3.4 - айпи клиента, 5.6.7.8 - мой айпи сервера

делаю ipsec restart, смотрю ipsec statusall

...
Connections:
hyper:  5.6.7.8...1.2.3.4  IKEv1
hyper:   local:  [5.6.7.8] uses pre-shared key authentication
hyper:   remote: [1.2.3.4] uses pre-shared key authentication
hyper:   child:  10.10.10.1/32 === 10.70.13.192/32 TUNNEL
hyper_new:   child:  10.10.10.10/32 === 10.252.61.31/32 TUNNEL
Security Associations (0 up, 0 connecting):
  none

никто не подключен, но когда на хосте 10.252.61.31 клиент сделает ping 10.10.10.10 то туннель hyper_new поднимается и работает

подскажите, как сделать так, что бы туннель сам поднимался?

Ссылка

←

XMPP vote

Какой дистибутив выбирать?

→

ipsec работает только когда в нем есть данные

anonymous2 ★★★★★
(02.09.21 18:11:45 MSK)

Ответ на: комментарий от anonymous2 02.09.21 18:11:45 MSK

не понятно, можно поподробнее :-)

Garcia ★
(02.09.21 18:37:39 MSK) автор топика

Что значит «добавил новый коннект»? У тебя и так были секции conn и на клиенте, и на сервере, раз до сих пор оно работало. Объявляешь auto=start в существующем подключении на сервере и всё.

thesis ★★★★★
(02.09.21 19:29:56 MSK)

Ответ на: комментарий от Garcia 02.09.21 18:37:39 MSK

ipsec это просто шифрованные данные, нет данных в сокете нет и ipsec, будешь пинговать будет ipsec

anonymous2 ★★★★★
(03.09.21 06:27:09 MSK)

Ikev1 - это боль. По возможности мигрируйте на v2.

anonymous
(03.09.21 06:42:01 MSK)

Ответ на: комментарий от thesis 02.09.21 19:29:56 MSK

был один коннект, в котором клиент подключался к моему серверу

conn hyper
        authby=secret

        left=5.6.7.8
        leftid=5.6.7.8
        leftsubnet=10.10.10.10/32

        right=1.2.3.4
        rightid=1.2.3.4
        rightsubnet=10.252.61.31/32

        auto=start
        esp=aes256-sha1-modp1024
        ike=aes256-sha
        keyexchange=ikev1

а теперь надо было наоборот, моему серверу подключаться к клиенту, поэтому и создал новый коннект и поменял left/right местами в новом подключении, разве это не верно?

Garcia ★
(03.09.21 09:25:27 MSK) автор топика

Ответ на: комментарий от anonymous2 03.09.21 06:27:09 MSK

когда начинаю я пинговать 10.252.61.31/32 то туннель не поднимается и связи нет, а если клиент начинает пинговать с 10.252.61.31/32 мой айпи 10.10.10.10/32 то туннель поднимается

Garcia ★
(03.09.21 09:27:31 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 03.09.21 06:42:01 MSK

согласен, но это не моя была прерогатива, попробую конечно клиента переубедить

Garcia ★
(03.09.21 09:29:56 MSK) автор топика

Ссылка

Ответ на: комментарий от Garcia 03.09.21 09:25:27 MSK

Чтобы задружить два strongswan'а по ipsec достаточно одной секции «conn» на каждой стороне. Считай их не «клиентом» и «сервером», а двумя равноценными участниками. Кто к кому первый лезет обниматься это дело случайности или твое решение, обоснованное, например, хреновой доступностью (ну вдруг там NAT неудобный с одной стороны, или еще что).

Для удобства одмина директивы «left*» рекомендуется использовать, подразумевая «local» (а «right*», соответственно, «remote»), т.е. если ты правишь конфиг на compA, то на нем везде пишешь left=compA.

В общем, для тестов auto=route на обе стороны, потом делаешь рестарт и пытаешься полезть откуда и куда надо, попутно глядя в лог на обоих концах.

thesis ★★★★★
(03.09.21 10:17:41 MSK)

Ответ на: комментарий от thesis 03.09.21 10:17:41 MSK

у клиента не strongswan, а Cisco Firepower (бывшая ASA)

попробовал такой конфиг

config setup
        charondebug="all"
        uniqueids=yes
        strictcrlpolicy=no

conn %default
        ikelifetime=1440m
        keylife=60m
        rekeymargin=3m
        keyingtries=1

conn hyper
        authby=secret

        left=5.6.7.8
        leftid=5.6.7.8
        leftsubnet=10.10.10.1/32

        right=1.2.3.4
        rightid=1.2.3.4
        rightsubnet=10.70.13.192/32

        auto=start
        esp=aes256-sha1-modp1024
        ike=aes256-sha
        keyexchange=ikev1

conn hyper_new
        also=hyper
        rightsubnet=10.252.61.31/32
        rightfirewall=yes
        leftfirewall=yes
        leftsubnet=10.10.10.10/32
        auto=route

коннект hyper - работает, это когда клиент подключается к моему серверу

коннект hyper_new - не работает, хочу, что бы мой сервер подключился и пинговался 10.252.61.31

Garcia ★
(06.09.21 11:17:28 MSK) автор топика

Ответ на: комментарий от Garcia 06.09.21 11:17:28 MSK

А, тогда я просто не понимаю, кто сквозь кого куда ходит. Обрисуй словами схему плз.

thesis ★★★★★
(07.09.21 10:41:02 MSK)

Ответ на: комментарий от thesis 07.09.21 10:41:02 MSK

клиент 1.2.3.4 (10.70.13.192/32) каждый день подключается к моему серверу 5.6.7.8 и заливает файлы - этот коннект надо оставить продолжать работать, но нужен теперь другой коннект, что бы я со своего сервера 5.6.7.8 (10.10.10.10/32) подключался к 1.2.3.4 (10.252.61.31/32) и мог проверить их АПИ через туннель

Garcia ★
(07.09.21 11:25:39 MSK) автор топика

Ответ на: комментарий от Garcia 07.09.21 11:25:39 MSK

То есть все-таки это только две системы. А то я начал думать, что клиентов больше одного. Тогда как я и говорил, нужна только одна секция conn на каждой системе.

сервера 5.6.7.8 (10.10.10.10/32)

В конфиге вижу 10.10.10.1/32

На «сервере» auto=start; клиенту, если можно, сказать тупо ждать и не лезть первым (я не знаю, как там в цисках с этим) и после рестарта глянь в лог свана, на чем он застревает. Зачем указан *firewall=yes, между left и right есть NAT'ы? И начни, может, с минимального конфига, без *subnet?

thesis ★★★★★
(07.09.21 12:07:16 MSK)
Последнее исправление: thesis 07.09.21 12:08:05 MSK (всего исправлений: 1)

Ответ на: комментарий от thesis 07.09.21 12:07:16 MSK

в итоге перешли на OpenSwan с таким конфигом

conn hyper
        type=tunnel
        authby=secret
        auto=start
        ike=aes256-sha1;modp2048!
        phase2alg=aes256-sha1;modp2048

        keyexchange=ike
        phase2=esp
        pfs=no
        aggrmode=no
        ikelifetime=86400s
        salifetime=10000s
        forceencaps=yes
        dpdaction=restart
        left=5.6.7.8
        leftid=5.6.7.8
        leftsubnet=10.10.10.10/32
        leftnexthop=1.2.3.4

        right=1.2.3.4
        rightid=1.2.3.4
        rightsubnets=10.252.61.31/32,10.252.202.38/32
        rightnexthop=5.6.7.8

добавил роут route add -net 10.252.0.0 netmask 255.255.0.0 gw 10.10.10.10 и туннель поднялся

Garcia ★
(13.09.21 10:57:29 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←

XMPP vote

General

Какой дистибутив выбирать?

→

Похожие темы