forum.opennet.ru

Форум Информационная безопасность (VPN, IPSec / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Strongswan настройка конфигурации по таблице., ITX (ok), 04-Ноя-19, (0) [смотреть все]

Я, в своё время, много тыкался и подбирал параметры почти на ощупь, читая доки, , Licha Morada (ok), 21:04 , 04-Ноя-19, (1) +1 //

gt оверквотинг удален Спасибо большое что помог хоть чуть чуть разобраться теп, ITX (ok), 22:16 , 06-Ноя-19, (2) //

Рекомендую хороший бубен, а также смотреть логи и статусы очень внимательно с об, Licha Morada (ok), 01:08 , 07-Ноя-19, (3) //

Понял , ITX (ok), 05:34 , 07-Ноя-19, (4)

gt оверквотинг удален Добрый день А StrongSwan сам создаст сертификат и ключи, the_mask (ok), 13:53 , 24-Авг-22, (5) //

gt оверквотинг удален В примере, который я привёл, от оператора требуется толк, Licha Morada (ok), 17:55 , 24-Авг-22, (6) //

gt оверквотинг удален Огромное спасибо вам за пост, очень помогла эта инфа в а, the_mask (ok), 10:11 , 25-Авг-22, (7)
Добрый день Подскажите пожалуйста что писать в конфиги strongswan и ipsec в так, the_mask (ok), 16:14 , 23-Сен-22, (8)

Ну, давайте посмотрим на то что у вас уже есть, чтобы не начинать с нуля, и что , Licha Morada (ok), 04:52 , 25-Сен-22, (9)

Сообщения [Сортировка по времени | RSS]

5. "Strongswan настройка конфигурации по таблице." +/–

Сообщение от the_mask (ok), 24-Авг-22, 13:53

>[оверквотинг удален]
>>  |2.2.2.2
> left=xx.xx.xx.xx #this side real IP in the interface
> leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks
> right=XX.XX.XX.XX #peer side visible IP
> rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks
> Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет
> под рукой примера.
> Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
> Смотрите доки, типа:
> https://kb.juniper.net/InfoCenter/index?page=content&id=KB34...
Добрый день. А StrongSwan сам создаст сертификат и ключи или нужно это делать самостоятельно?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

6. "Strongswan настройка конфигурации по таблице." +/–

Сообщение от Licha Morada (ok), 24-Авг-22, 17:55

>[оверквотинг удален]
>> leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks
>> right=XX.XX.XX.XX #peer side visible IP
>> rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks
>> Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет
>> под рукой примера.
>> Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
>> Смотрите доки, типа:
>> https://kb.juniper.net/InfoCenter/index?page=content&id=KB34...
> Добрый день. А StrongSwan сам создаст сертификат и ключи или нужно это
> делать самостоятельно?
В примере, который я привёл, от оператора требуется толко PSK (pre-shared key).
Если для аутентикации использовать сертификаты, то да, надо их создавать самостоятельно и танцевать вокруг Certification Authority.

Ответить | Правка | Наверх | Cообщить модератору

7. "Strongswan настройка конфигурации по таблице." +/–

Сообщение от the_mask (ok), 25-Авг-22, 10:11

>[оверквотинг удален]
>>> Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет
>>> под рукой примера.
>>> Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
>>> Смотрите доки, типа:
>>> https://kb.juniper.net/InfoCenter/index?page=content&id=KB34...
>> Добрый день. А StrongSwan сам создаст сертификат и ключи или нужно это
>> делать самостоятельно?
> В примере, который я привёл, от оператора требуется толко PSK (pre-shared key).
> Если для аутентикации использовать сертификаты, то да, надо их создавать самостоятельно
> и танцевать вокруг Certification Authority.
Огромное спасибо вам за пост, очень помогла эта инфа в аналогичной ситуации.

Ответить | Правка | Наверх | Cообщить модератору

8. "Strongswan настройка конфигурации по таблице." +/–

Сообщение от the_mask (ok), 23-Сен-22, 16:14

Добрый день. Подскажите пожалуйста что писать в конфиги strongswan и ipsec в таком случае.
Ниже требования оператора связи для создания защищённого соединения. Я пробовал различные варианты конфигов, в интернете их много. Туннель не поднимается, а время поджимает.
--------------------------------------------------------------------------------------
VPN peer gateway            |    здесь внешний ip их Cisco
--------------------------------------------------------------------------------------
IKE Parameters (Phase 1)
--------------------------------------------------------------------------------------
IKE version                |    Ikev2
Authentication Method            |    Preshared key
Key Exchange encryption            |    AES-256
Data Integrity                |    SHA
Diffie-Hellman Group (phase 1)    |    Group 14
Timer IKE phase 1        |    86400
pseudo-random function (prf)    |    sha256 sha
Type                |    Main mode
--------------------------------------------------------------------------------------
IPSec SA Parameters (Phase 2)
--------------------------------------------------------------------------------------
UDP encapsulation        |    Yes
Protocol            |    ESP
IPSEC                |    AES-256
Data Integrity            |    AES-256
Diffie-Hellman Group        |    PFS Group 14
Transform-set            |    esp-aes-256 esp-sha-hmac (AES256-SHA)
Timer IKE phase 2        |    3600
Traffic Initiator        |    V
Encryption Domain        |    Тут три ip из пула внутренней сети оператора
--------------------------------------------------------------------------------------

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

9. "Strongswan настройка конфигурации по таблице." +/–

Сообщение от Licha Morada (ok), 25-Сен-22, 04:52

> Добрый день. Подскажите пожалуйста что писать в конфиги strongswan и ipsec в
> таком случае.
Ну, давайте посмотрим на то что у вас уже есть, чтобы не начинать с нуля, и что именно не получается.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	5. "Strongswan настройка конфигурации по таблице."	+/–
	Сообщение от the_mask (ok), 24-Авг-22, 13:53
	>[оверквотинг удален] >> \|2.2.2.2 > left=xx.xx.xx.xx #this side real IP in the interface > leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks > right=XX.XX.XX.XX #peer side visible IP > rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks > Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет > под рукой примера. > Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон. > Смотрите доки, типа: > https://kb.juniper.net/InfoCenter/index?page=content&id=KB34... Добрый день. А StrongSwan сам создаст сертификат и ключи или нужно это делать самостоятельно?
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	6. "Strongswan настройка конфигурации по таблице."	+/–
	Сообщение от Licha Morada (ok), 24-Авг-22, 17:55
	>[оверквотинг удален] >> leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks >> right=XX.XX.XX.XX #peer side visible IP >> rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks >> Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет >> под рукой примера. >> Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон. >> Смотрите доки, типа: >> https://kb.juniper.net/InfoCenter/index?page=content&id=KB34... > Добрый день. А StrongSwan сам создаст сертификат и ключи или нужно это > делать самостоятельно? В примере, который я привёл, от оператора требуется толко PSK (pre-shared key). Если для аутентикации использовать сертификаты, то да, надо их создавать самостоятельно и танцевать вокруг Certification Authority.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Strongswan настройка конфигурации по таблице."	+/–
	Сообщение от the_mask (ok), 25-Авг-22, 10:11
	>[оверквотинг удален] >>> Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет >>> под рукой примера. >>> Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон. >>> Смотрите доки, типа: >>> https://kb.juniper.net/InfoCenter/index?page=content&id=KB34... >> Добрый день. А StrongSwan сам создаст сертификат и ключи или нужно это >> делать самостоятельно? > В примере, который я привёл, от оператора требуется толко PSK (pre-shared key). > Если для аутентикации использовать сертификаты, то да, надо их создавать самостоятельно > и танцевать вокруг Certification Authority. Огромное спасибо вам за пост, очень помогла эта инфа в аналогичной ситуации.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Strongswan настройка конфигурации по таблице."	+/–
	Сообщение от the_mask (ok), 23-Сен-22, 16:14
	Добрый день. Подскажите пожалуйста что писать в конфиги strongswan и ipsec в таком случае. Ниже требования оператора связи для создания защищённого соединения. Я пробовал различные варианты конфигов, в интернете их много. Туннель не поднимается, а время поджимает. -------------------------------------------------------------------------------------- VPN peer gateway \| здесь внешний ip их Cisco -------------------------------------------------------------------------------------- IKE Parameters (Phase 1) -------------------------------------------------------------------------------------- IKE version \| Ikev2 Authentication Method \| Preshared key Key Exchange encryption \| AES-256 Data Integrity \| SHA Diffie-Hellman Group (phase 1) \| Group 14 Timer IKE phase 1 \| 86400 pseudo-random function (prf) \| sha256 sha Type \| Main mode -------------------------------------------------------------------------------------- IPSec SA Parameters (Phase 2) -------------------------------------------------------------------------------------- UDP encapsulation \| Yes Protocol \| ESP IPSEC \| AES-256 Data Integrity \| AES-256 Diffie-Hellman Group \| PFS Group 14 Transform-set \| esp-aes-256 esp-sha-hmac (AES256-SHA) Timer IKE phase 2 \| 3600 Traffic Initiator \| V Encryption Domain \| Тут три ip из пула внутренней сети оператора --------------------------------------------------------------------------------------
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	9. "Strongswan настройка конфигурации по таблице."	+/–
	Сообщение от Licha Morada (ok), 25-Сен-22, 04:52
	> Добрый день. Подскажите пожалуйста что писать в конфиги strongswan и ipsec в > таком случае. Ну, давайте посмотрим на то что у вас уже есть, чтобы не начинать с нуля, и что именно не получается.
	Ответить \| Правка \| Наверх \| Cообщить модератору