LINUX.ORG.RU

ipsec не подключается к другому серверу

 , ,


0

1

есть сервер на котором настроено ipsec (strongswan), когда клиент подключается и закидывает свои файлики, но теперь надо, что с сервера был другой коннект, который будет подключаться к клиенту

добавил новый коннект

conn hyper_new
        authby=secret

        left=1.2.3.4
        leftid=1.2.3.4
        leftsubnet=10.252.61.31/32

        right=5.6.7.8
        rightid=5.6.7.8
        rightsubnet=10.10.10.10/32

        auto=start
        esp=aes256-sha1-modp1024
        ike=aes256-sha
        keyexchange=ikev1

где 1.2.3.4 - айпи клиента, 5.6.7.8 - мой айпи сервера

делаю ipsec restart, смотрю ipsec statusall

...
Connections:
hyper:  5.6.7.8...1.2.3.4  IKEv1
hyper:   local:  [5.6.7.8] uses pre-shared key authentication
hyper:   remote: [1.2.3.4] uses pre-shared key authentication
hyper:   child:  10.10.10.1/32 === 10.70.13.192/32 TUNNEL
hyper_new:   child:  10.10.10.10/32 === 10.252.61.31/32 TUNNEL
Security Associations (0 up, 0 connecting):
  none

никто не подключен, но когда на хосте 10.252.61.31 клиент сделает ping 10.10.10.10 то туннель hyper_new поднимается и работает

подскажите, как сделать так, что бы туннель сам поднимался?


Что значит «добавил новый коннект»? У тебя и так были секции conn и на клиенте, и на сервере, раз до сих пор оно работало. Объявляешь auto=start в существующем подключении на сервере и всё.

thesis ★★★★★ ()
Ответ на: комментарий от thesis

был один коннект, в котором клиент подключался к моему серверу

conn hyper
        authby=secret

        left=5.6.7.8
        leftid=5.6.7.8
        leftsubnet=10.10.10.10/32

        right=1.2.3.4
        rightid=1.2.3.4
        rightsubnet=10.252.61.31/32

        auto=start
        esp=aes256-sha1-modp1024
        ike=aes256-sha
        keyexchange=ikev1

а теперь надо было наоборот, моему серверу подключаться к клиенту, поэтому и создал новый коннект и поменял left/right местами в новом подключении, разве это не верно?

Garcia ()
Ответ на: комментарий от anonymous2

когда начинаю я пинговать 10.252.61.31/32 то туннель не поднимается и связи нет, а если клиент начинает пинговать с 10.252.61.31/32 мой айпи 10.10.10.10/32 то туннель поднимается

Garcia ()
Ответ на: комментарий от anonymous

согласен, но это не моя была прерогатива, попробую конечно клиента переубедить

Garcia ()
Ответ на: комментарий от Garcia

Чтобы задружить два strongswan'а по ipsec достаточно одной секции «conn» на каждой стороне. Считай их не «клиентом» и «сервером», а двумя равноценными участниками. Кто к кому первый лезет обниматься это дело случайности или твое решение, обоснованное, например, хреновой доступностью (ну вдруг там NAT неудобный с одной стороны, или еще что).

Для удобства одмина директивы «left*» рекомендуется использовать, подразумевая «local» (а «right*», соответственно, «remote»), т.е. если ты правишь конфиг на compA, то на нем везде пишешь left=compA.

В общем, для тестов auto=route на обе стороны, потом делаешь рестарт и пытаешься полезть откуда и куда надо, попутно глядя в лог на обоих концах.

thesis ★★★★★ ()
Ответ на: комментарий от thesis

у клиента не strongswan, а Cisco Firepower (бывшая ASA)

попробовал такой конфиг

config setup
        charondebug="all"
        uniqueids=yes
        strictcrlpolicy=no

conn %default
        ikelifetime=1440m
        keylife=60m
        rekeymargin=3m
        keyingtries=1

conn hyper
        authby=secret

        left=5.6.7.8
        leftid=5.6.7.8
        leftsubnet=10.10.10.1/32

        right=1.2.3.4
        rightid=1.2.3.4
        rightsubnet=10.70.13.192/32

        auto=start
        esp=aes256-sha1-modp1024
        ike=aes256-sha
        keyexchange=ikev1

conn hyper_new
        also=hyper
        rightsubnet=10.252.61.31/32
        rightfirewall=yes
        leftfirewall=yes
        leftsubnet=10.10.10.10/32
        auto=route

коннект hyper - работает, это когда клиент подключается к моему серверу

коннект hyper_new - не работает, хочу, что бы мой сервер подключился и пинговался 10.252.61.31

Garcia ()
Ответ на: комментарий от thesis

клиент 1.2.3.4 (10.70.13.192/32) каждый день подключается к моему серверу 5.6.7.8 и заливает файлы - этот коннект надо оставить продолжать работать, но нужен теперь другой коннект, что бы я со своего сервера 5.6.7.8 (10.10.10.10/32) подключался к 1.2.3.4 (10.252.61.31/32) и мог проверить их АПИ через туннель

Garcia ()
Ответ на: комментарий от Garcia

То есть все-таки это только две системы. А то я начал думать, что клиентов больше одного. Тогда как я и говорил, нужна только одна секция conn на каждой системе.

сервера 5.6.7.8 (10.10.10.10/32)

В конфиге вижу 10.10.10.1/32

На «сервере» auto=start; клиенту, если можно, сказать тупо ждать и не лезть первым (я не знаю, как там в цисках с этим) и после рестарта глянь в лог свана, на чем он застревает. Зачем указан *firewall=yes, между left и right есть NAT'ы? И начни, может, с минимального конфига, без *subnet?

thesis ★★★★★ ()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от thesis

в итоге перешли на OpenSwan с таким конфигом

conn hyper
        type=tunnel
        authby=secret
        auto=start
        ike=aes256-sha1;modp2048!
        phase2alg=aes256-sha1;modp2048

        keyexchange=ike
        phase2=esp
        pfs=no
        aggrmode=no
        ikelifetime=86400s
        salifetime=10000s
        forceencaps=yes
        dpdaction=restart
        left=5.6.7.8
        leftid=5.6.7.8
        leftsubnet=10.10.10.10/32
        leftnexthop=1.2.3.4

        right=1.2.3.4
        rightid=1.2.3.4
        rightsubnets=10.252.61.31/32,10.252.202.38/32
        rightnexthop=5.6.7.8

добавил роут route add -net 10.252.0.0 netmask 255.255.0.0 gw 10.10.10.10 и туннель поднялся

Garcia ()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.