Strongswan не устанавливает связь

Question

Strongswan не устанавливает связь

Я создаю VPN с помощью StrongSwan. Я впервые использую этот инструмент. Я следовал инструкциям по настройке. Я нажал на блокировку, из-за чего истекает время соединения. Статус 0 up, 1 connecting,

Я пробовал на разных серверах, возникает одна и та же проблема.

ipsec.conf

conn conec-example
  authby=secret
  left=%defaultroute
  leftid=<public_IP_1>
  leftsubnet=<private_ip_1>/20
  right=<public_IP_2>
  rightsubnet=<private_ip_2>/20
  ike=aes256-sha2_256-modp1024!
  esp=aes256-sha2_256!
  keyingtries=0
  ikelifetime=1h
  lifetime=8h
  dpddelay=30
  dpdtimeout=120
  dpdaction=restart
  auto=start

ipsec.secrets

public_IP_1 public_IP_2 : PSK "randomprivatesharedkey"

Вот часть логов:

Aug 18 17:29:01 ip-x charon: 10[IKE] retransmit 2 of request with message ID 0
Aug 18 17:29:01 ip-x charon: 10[NET] sending packet: from x.x[500] to x.x.x.x[500] (334 bytes)
Aug 18 17:30:19 ip-x charon: 13[IKE] retransmit 5 of request with message ID 0
Aug 18 17:30:19 ip-xcharon: 13[NET] sending packet: from x.x[500] tox.x.x.129[500] (334 bytes)
Aug 18 17:31:35  charon: 16[IKE] giving up after 5 retransmits
Aug 18 17:31:35 charon: 16[IKE] peer not responding, trying again (2/0)

Я ожидал успешного подключения после настройки, но безуспешно. Как я могу решить это? Есть идеи?

3

amazon-ec2 vpn strongswan

Источник

user9793825 18 авг '19 в 22:43

1 ответ

Другие вопросы по тегам amazon-ec2 vpn strongswan

user4806599 19 авг '19 в 16:12 2019-08-19 16:12 · Answer 1 · 2019-08-19 16:12

Основываясь на выдержке из журнала, у strongswan есть проблема, чтобы связаться с другим узлом. Слишком мало информации, чтобы дать точный ответ; необходима топология и план адресации, соответствующие настройки групп безопасности AWS и конфигурация обоих VPN-узлов.

Тем не менее, позвольте мне предложить несколько советов, что делать для успешного подключения через VPN:

Порты UDP 500 и 4500 должны быть открыты на обоих узлах VPN. В AWS это означает, что группа безопасности AWS, связанная с экземпляром EC2, на котором выполняется strongswan, должна содержать явные правила, разрешающие входящий трафик UDP на портах 500 и 4500. Экземпляр EC2 всегда находится за NAT, поэтому пакеты ESP/AH будут инкапсулированы в пакеты UDP.,
Любой межсетевой экран на обоих узлах VPN должен разрешать трафик UDP, упомянутый в предыдущем пункте.
Помните, что UDP-инкапсуляция влияет на MTU трафика, проходящего через VPN-соединение.