> Доброго времени суток уважаемые.
> Ситуация такая мы с клиентом хотим между собой настроить ipsec туннель для
> передачи данных.
> так вот они нам прислали таблицу для заполнения и вот тут у
> меня возникли вопросы как все это перевести в конфиг файл.
> Таблица состоит из таких вот строк.Я, в своё время, много тыкался и подбирал параметры почти на ощупь, читая доки, туториалы и примеры (с тех пор ещё нежнее полюбил OpenVPN и Tinc), постепенно пришёл к прототипу, который проходится чуточку подтачивать работая с разными peerами. Мой кейс это всегда net-to-net, не peer-to-net.
Получается примерно так:
> Encryption Mode |Site to Site Tunnel Mode | Site to
> Site Tunnel Mode
type=tunnel
> Setting of IPSEC connection
> Phase 1
> Authentication Method |Pre-Shared Key |Pre-Shared Key
authby=secret
> Encryption Scheme |IKE |IKE
keyexchange=ike
> Diffie-Hellman Group |Group 2 |Group 2
> Encryption Algorithm |3DES |3DES
> Hashing Algorithm |SHA1 |SHA1
ike=3des-sha1-modp1024
> Main or Aggressive Mode |Main mode |Main mode
aggressive = no #default
> Lifetime (for renegotiation) |86400s |86400s
ikelifetime=24h
> Phase 2
> Encapsulation (ESP or AH) |ESP |ESP
> Encryption Algorithm |3DES |3DES
> Authentication Algorithm |SHA1 |SHA1
> Perfect Forward Secrecy |Group 2 |Group 2
esp=3des-sha1-modp1024
> Lifetime (for renegotiation) |3600s |3600s
> Lifesize in KB |0 |0
Возможно, lifebytes = <number> и lifetime = <time>
> Tunnel Configuration
> Local IP address |192.168.120.150 |192.168.0.5
> Peer IP address |1.1.1.1
> |2.2.2.2
left=xx.xx.xx.xx #this side real IP in the interface
leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks
right=XX.XX.XX.XX #peer side visible IP
rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks
Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет под рукой примера.
Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
Смотрите доки, типа:
https://kb.juniper.net/InfoCenter/index?page=content&id=KB34...
Версия для распечатки
