forum.opennet.ru - "Strongswan настройка конфигурации по таблице." (9)

"Strongswan настройка конфигурации по таблице."

Форум Информационная безопасность (VPN, IPSec / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Strongswan настройка конфигурации по таблице."	+/–
Сообщение от ITX (ok), 04-Ноя-19, 16:33
Доброго времени суток уважаемые. Ситуация такая мы с клиентом хотим между собой настроить ipsec туннель для передачи данных. так вот они нам прислали таблицу для заполнения и вот тут у меня возникли вопросы как все это перевести в конфиг файл. Таблица состоит из таких вот строк. Details of VPN Gateway Encryption Mode \|Site to Site Tunnel Mode \| Site to Site Tunnel Mode Equipment Type \|Juniper \| Linux CentOS (strongSwan) Setting of IPSEC connection Phase 1 Authentication Method \|Pre-Shared Key \|Pre-Shared Key Encryption Scheme \|IKE \|IKE Diffie-Hellman Group \|Group 2 \|Group 2 Encryption Algorithm \|3DES \|3DES Hashing Algorithm \|SHA1 \|SHA1 Main or Aggressive Mode \|Main mode \|Main mode Lifetime (for renegotiation) \|86400s \|86400s Phase 2 Encapsulation (ESP or AH) \|ESP \|ESP Encryption Algorithm \|3DES \|3DES Authentication Algorithm \|SHA1 \|SHA1 Perfect Forward Secrecy \|Group 2 \|Group 2 Lifetime (for renegotiation) \|3600s \|3600s Lifesize in KB \|0 \|0 Tunnel Configuration Local IP address \|192.168.120.150 \|192.168.0.5 Peer IP address \|1.1.1.1 \|2.2.2.2 буду очень благодарен за помощь.
Ответить \| Правка \| Cообщить модератору

Оглавление

Я, в своё время, много тыкался и подбирал параметры почти на ощупь, читая доки, , Licha Morada (ok), 21:04 , 04-Ноя-19, (1) +1

gt оверквотинг удален Спасибо большое что помог хоть чуть чуть разобраться теп, ITX (ok), 22:16 , 06-Ноя-19, (2)

Рекомендую хороший бубен, а также смотреть логи и статусы очень внимательно с об, Licha Morada (ok), 01:08 , 07-Ноя-19, (3)

Понял , ITX (ok), 05:34 , 07-Ноя-19, (4)

gt оверквотинг удален Добрый день А StrongSwan сам создаст сертификат и ключи, the_mask (ok), 13:53 , 24-Авг-22, (5)

gt оверквотинг удален В примере, который я привёл, от оператора требуется толк, Licha Morada (ok), 17:55 , 24-Авг-22, (6)

gt оверквотинг удален Огромное спасибо вам за пост, очень помогла эта инфа в а, the_mask (ok), 10:11 , 25-Авг-22, (7)
Добрый день Подскажите пожалуйста что писать в конфиги strongswan и ipsec в так, the_mask (ok), 16:14 , 23-Сен-22, (8)

Ну, давайте посмотрим на то что у вас уже есть, чтобы не начинать с нуля, и что , Licha Morada (ok), 04:52 , 25-Сен-22, (9)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Licha Morada (ok), 04-Ноя-19, 21:04 +1 +/–

> Доброго времени суток уважаемые.
> Ситуация такая мы с клиентом хотим между собой настроить ipsec туннель для
> передачи данных.
> так вот они нам прислали таблицу для заполнения и вот тут у
> меня возникли вопросы как все это перевести в конфиг файл.
> Таблица состоит из таких вот строк.
Я, в своё время, много тыкался и подбирал параметры почти на ощупь, читая доки, туториалы и примеры (с тех пор ещё нежнее полюбил OpenVPN и Tinc), постепенно пришёл к прототипу, который проходится чуточку подтачивать работая с разными peerами. Мой кейс это всегда net-to-net, не peer-to-net.
Получается примерно так:
> Encryption Mode   |Site to Site Tunnel Mode | Site to
> Site Tunnel Mode
type=tunnel
> Setting of IPSEC connection
> Phase 1
> Authentication Method  |Pre-Shared Key  |Pre-Shared Key
authby=secret
> Encryption Scheme  |IKE   |IKE
keyexchange=ike
> Diffie-Hellman Group  |Group 2  |Group 2
> Encryption Algorithm  |3DES   |3DES
> Hashing Algorithm  |SHA1   |SHA1
ike=3des-sha1-modp1024
> Main or Aggressive Mode  |Main mode  |Main mode
aggressive = no #default
> Lifetime (for renegotiation) |86400s   |86400s
ikelifetime=24h
> Phase 2
> Encapsulation (ESP or AH) |ESP   |ESP
> Encryption Algorithm  |3DES   |3DES
> Authentication Algorithm |SHA1   |SHA1
> Perfect Forward Secrecy  |Group 2  |Group 2
esp=3des-sha1-modp1024
> Lifetime (for renegotiation) |3600s   |3600s
> Lifesize in KB    |0   |0
Возможно, lifebytes = <number> и lifetime = <time>
> Tunnel Configuration
> Local IP address |192.168.120.150 |192.168.0.5
> Peer IP address  |1.1.1.1
>  |2.2.2.2
left=xx.xx.xx.xx #this side real IP in the interface
leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks
right=XX.XX.XX.XX #peer side visible IP
rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks
Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет под рукой примера.
Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
Смотрите доки, типа:
https://kb.juniper.net/InfoCenter/index?page=content&id=KB34...

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #5

2. Сообщение от ITX (ok), 06-Ноя-19, 22:16 +/–

>[оверквотинг удален]
>>  |2.2.2.2
> left=xx.xx.xx.xx #this side real IP in the interface
> leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks
> right=XX.XX.XX.XX #peer side visible IP
> rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks
> Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет
> под рукой примера.
> Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
> Смотрите доки, типа:
> https://kb.juniper.net/InfoCenter/index?page=content&id=KB34...
Спасибо большое что помог хоть чуть чуть разобраться теперь после соединения у меня возникла такая проблема пока обе стороны пинги не отправят пинги не идут т.е через какое то время они уходит в сон что ли не понятно почему так.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #3

3. Сообщение от Licha Morada (ok), 07-Ноя-19, 01:08 +/–

> Спасибо большое что помог хоть чуть чуть разобраться теперь после соединения у
> меня возникла такая проблема пока обе стороны пинги не отправят пинги
> не идут т.е через какое то время они уходит в сон
> что ли не понятно почему так.
Рекомендую хороший бубен, а также смотреть логи и статусы очень внимательно с обоих сторон. Причины могут быть весьма разнообразными.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #4

4. Сообщение от ITX (ok), 07-Ноя-19, 05:34 +/–

>> Спасибо большое что помог хоть чуть чуть разобраться теперь после соединения у
>> меня возникла такая проблема пока обе стороны пинги не отправят пинги
>> не идут т.е через какое то время они уходит в сон
>> что ли не понятно почему так.
> Рекомендую хороший бубен, а также смотреть логи и статусы очень внимательно с
> обоих сторон. Причины могут быть весьма разнообразными.
Понял )

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

5. Сообщение от the_mask (ok), 24-Авг-22, 13:53 +/–

>[оверквотинг удален]
>>  |2.2.2.2
> left=xx.xx.xx.xx #this side real IP in the interface
> leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks
> right=XX.XX.XX.XX #peer side visible IP
> rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks
> Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет
> под рукой примера.
> Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
> Смотрите доки, типа:
> https://kb.juniper.net/InfoCenter/index?page=content&id=KB34...
Добрый день. А StrongSwan сам создаст сертификат и ключи или нужно это делать самостоятельно?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #6

6. Сообщение от Licha Morada (ok), 24-Авг-22, 17:55 +/–

>[оверквотинг удален]
>> leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks
>> right=XX.XX.XX.XX #peer side visible IP
>> rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks
>> Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет
>> под рукой примера.
>> Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
>> Смотрите доки, типа:
>> https://kb.juniper.net/InfoCenter/index?page=content&id=KB34...
> Добрый день. А StrongSwan сам создаст сертификат и ключи или нужно это
> делать самостоятельно?
В примере, который я привёл, от оператора требуется толко PSK (pre-shared key).
Если для аутентикации использовать сертификаты, то да, надо их создавать самостоятельно и танцевать вокруг Certification Authority.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #7, #8

7. Сообщение от the_mask (ok), 25-Авг-22, 10:11 +/–

>[оверквотинг удален]
>>> Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет
>>> под рукой примера.
>>> Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон.
>>> Смотрите доки, типа:
>>> https://kb.juniper.net/InfoCenter/index?page=content&id=KB34...
>> Добрый день. А StrongSwan сам создаст сертификат и ключи или нужно это
>> делать самостоятельно?
> В примере, который я привёл, от оператора требуется толко PSK (pre-shared key).
> Если для аутентикации использовать сертификаты, то да, надо их создавать самостоятельно
> и танцевать вокруг Certification Authority.
Огромное спасибо вам за пост, очень помогла эта инфа в аналогичной ситуации.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

8. Сообщение от the_mask (ok), 23-Сен-22, 16:14 +/–

Добрый день. Подскажите пожалуйста что писать в конфиги strongswan и ipsec в таком случае.
Ниже требования оператора связи для создания защищённого соединения. Я пробовал различные варианты конфигов, в интернете их много. Туннель не поднимается, а время поджимает.
--------------------------------------------------------------------------------------
VPN peer gateway            |    здесь внешний ip их Cisco
--------------------------------------------------------------------------------------
IKE Parameters (Phase 1)
--------------------------------------------------------------------------------------
IKE version                |    Ikev2
Authentication Method            |    Preshared key
Key Exchange encryption            |    AES-256
Data Integrity                |    SHA
Diffie-Hellman Group (phase 1)    |    Group 14
Timer IKE phase 1        |    86400
pseudo-random function (prf)    |    sha256 sha
Type                |    Main mode
--------------------------------------------------------------------------------------
IPSec SA Parameters (Phase 2)
--------------------------------------------------------------------------------------
UDP encapsulation        |    Yes
Protocol            |    ESP
IPSEC                |    AES-256
Data Integrity            |    AES-256
Diffie-Hellman Group        |    PFS Group 14
Transform-set            |    esp-aes-256 esp-sha-hmac (AES256-SHA)
Timer IKE phase 2        |    3600
Traffic Initiator        |    V
Encryption Domain        |    Тут три ip из пула внутренней сети оператора
--------------------------------------------------------------------------------------

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #9

9. Сообщение от Licha Morada (ok), 25-Сен-22, 04:52 +/–

> Добрый день. Подскажите пожалуйста что писать в конфиги strongswan и ipsec в
> таком случае.
Ну, давайте посмотрим на то что у вас уже есть, чтобы не начинать с нуля, и что именно не получается.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Licha Morada (ok), 04-Ноя-19, 21:04	+1 +/–
> Доброго времени суток уважаемые. > Ситуация такая мы с клиентом хотим между собой настроить ipsec туннель для > передачи данных. > так вот они нам прислали таблицу для заполнения и вот тут у > меня возникли вопросы как все это перевести в конфиг файл. > Таблица состоит из таких вот строк. Я, в своё время, много тыкался и подбирал параметры почти на ощупь, читая доки, туториалы и примеры (с тех пор ещё нежнее полюбил OpenVPN и Tinc), постепенно пришёл к прототипу, который проходится чуточку подтачивать работая с разными peerами. Мой кейс это всегда net-to-net, не peer-to-net. Получается примерно так: > Encryption Mode \|Site to Site Tunnel Mode \| Site to > Site Tunnel Mode type=tunnel > Setting of IPSEC connection > Phase 1 > Authentication Method \|Pre-Shared Key \|Pre-Shared Key authby=secret > Encryption Scheme \|IKE \|IKE keyexchange=ike > Diffie-Hellman Group \|Group 2 \|Group 2 > Encryption Algorithm \|3DES \|3DES > Hashing Algorithm \|SHA1 \|SHA1 ike=3des-sha1-modp1024 > Main or Aggressive Mode \|Main mode \|Main mode aggressive = no #default > Lifetime (for renegotiation) \|86400s \|86400s ikelifetime=24h > Phase 2 > Encapsulation (ESP or AH) \|ESP \|ESP > Encryption Algorithm \|3DES \|3DES > Authentication Algorithm \|SHA1 \|SHA1 > Perfect Forward Secrecy \|Group 2 \|Group 2 esp=3des-sha1-modp1024 > Lifetime (for renegotiation) \|3600s \|3600s > Lifesize in KB \|0 \|0 Возможно, lifebytes = <number> и lifetime = <time> > Tunnel Configuration > Local IP address \|192.168.120.150 \|192.168.0.5 > Peer IP address \|1.1.1.1 > \|2.2.2.2 left=xx.xx.xx.xx #this side real IP in the interface leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks right=XX.XX.XX.XX #peer side visible IP rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет под рукой примера. Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон. Смотрите доки, типа: https://kb.juniper.net/InfoCenter/index?page=content&id=KB34...
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #2, #5

2. Сообщение от ITX (ok), 06-Ноя-19, 22:16	+/–
>[оверквотинг удален] >> \|2.2.2.2 > left=xx.xx.xx.xx #this side real IP in the interface > leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks > right=XX.XX.XX.XX #peer side visible IP > rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks > Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет > под рукой примера. > Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон. > Смотрите доки, типа: > https://kb.juniper.net/InfoCenter/index?page=content&id=KB34... Спасибо большое что помог хоть чуть чуть разобраться теперь после соединения у меня возникла такая проблема пока обе стороны пинги не отправят пинги не идут т.е через какое то время они уходит в сон что ли не понятно почему так.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #3

3. Сообщение от Licha Morada (ok), 07-Ноя-19, 01:08	+/–
> Спасибо большое что помог хоть чуть чуть разобраться теперь после соединения у > меня возникла такая проблема пока обе стороны пинги не отправят пинги > не идут т.е через какое то время они уходит в сон > что ли не понятно почему так. Рекомендую хороший бубен, а также смотреть логи и статусы очень внимательно с обоих сторон. Причины могут быть весьма разнообразными.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #4

4. Сообщение от ITX (ok), 07-Ноя-19, 05:34	+/–
>> Спасибо большое что помог хоть чуть чуть разобраться теперь после соединения у >> меня возникла такая проблема пока обе стороны пинги не отправят пинги >> не идут т.е через какое то время они уходит в сон >> что ли не понятно почему так. > Рекомендую хороший бубен, а также смотреть логи и статусы очень внимательно с > обоих сторон. Причины могут быть весьма разнообразными. Понял )
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

5. Сообщение от the_mask (ok), 24-Авг-22, 13:53	+/–
>[оверквотинг удален] >> \|2.2.2.2 > left=xx.xx.xx.xx #this side real IP in the interface > leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks > right=XX.XX.XX.XX #peer side visible IP > rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks > Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет > под рукой примера. > Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон. > Смотрите доки, типа: > https://kb.juniper.net/InfoCenter/index?page=content&id=KB34... Добрый день. А StrongSwan сам создаст сертификат и ключи или нужно это делать самостоятельно?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #6

6. Сообщение от Licha Morada (ok), 24-Авг-22, 17:55	+/–
>[оверквотинг удален] >> leftsubnet=yy.yy.yy.yy/zz #comma separated this side networks >> right=XX.XX.XX.XX #peer side visible IP >> rightsubnet=YY.YY.YY.YY/ZZ #comma separated peer side networks >> Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет >> под рукой примера. >> Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон. >> Смотрите доки, типа: >> https://kb.juniper.net/InfoCenter/index?page=content&id=KB34... > Добрый день. А StrongSwan сам создаст сертификат и ключи или нужно это > делать самостоятельно? В примере, который я привёл, от оператора требуется толко PSK (pre-shared key). Если для аутентикации использовать сертификаты, то да, надо их создавать самостоятельно и танцевать вокруг Certification Authority.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #7, #8

7. Сообщение от the_mask (ok), 25-Авг-22, 10:11	+/–
>[оверквотинг удален] >>> Ещё можно назначать адрес непосредственно на интерфейс IPSec, но у меня нет >>> под рукой примера. >>> Проверяйте все параметры в man ipsec.conf. Смотрите логи с обоих сторон. >>> Смотрите доки, типа: >>> https://kb.juniper.net/InfoCenter/index?page=content&id=KB34... >> Добрый день. А StrongSwan сам создаст сертификат и ключи или нужно это >> делать самостоятельно? > В примере, который я привёл, от оператора требуется толко PSK (pre-shared key). > Если для аутентикации использовать сертификаты, то да, надо их создавать самостоятельно > и танцевать вокруг Certification Authority. Огромное спасибо вам за пост, очень помогла эта инфа в аналогичной ситуации.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

8. Сообщение от the_mask (ok), 23-Сен-22, 16:14	+/–
Добрый день. Подскажите пожалуйста что писать в конфиги strongswan и ipsec в таком случае. Ниже требования оператора связи для создания защищённого соединения. Я пробовал различные варианты конфигов, в интернете их много. Туннель не поднимается, а время поджимает. -------------------------------------------------------------------------------------- VPN peer gateway \| здесь внешний ip их Cisco -------------------------------------------------------------------------------------- IKE Parameters (Phase 1) -------------------------------------------------------------------------------------- IKE version \| Ikev2 Authentication Method \| Preshared key Key Exchange encryption \| AES-256 Data Integrity \| SHA Diffie-Hellman Group (phase 1) \| Group 14 Timer IKE phase 1 \| 86400 pseudo-random function (prf) \| sha256 sha Type \| Main mode -------------------------------------------------------------------------------------- IPSec SA Parameters (Phase 2) -------------------------------------------------------------------------------------- UDP encapsulation \| Yes Protocol \| ESP IPSEC \| AES-256 Data Integrity \| AES-256 Diffie-Hellman Group \| PFS Group 14 Transform-set \| esp-aes-256 esp-sha-hmac (AES256-SHA) Timer IKE phase 2 \| 3600 Traffic Initiator \| V Encryption Domain \| Тут три ip из пула внутренней сети оператора --------------------------------------------------------------------------------------
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #9

9. Сообщение от Licha Morada (ok), 25-Сен-22, 04:52	+/–
> Добрый день. Подскажите пожалуйста что писать в конфиги strongswan и ipsec в > таком случае. Ну, давайте посмотрим на то что у вас уже есть, чтобы не начинать с нуля, и что именно не получается.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8