Сайт-сайт IPSEC с Debian и Zyxel USG210 - сервер сообщает, что соединение установлено, а маршрутизатор - нет

Question

Сайт-сайт IPSEC с Debian и Zyxel USG210 - сервер сообщает, что соединение установлено, а маршрутизатор - нет

Я пытаюсь настроить StrongSwan IPSEC VPN на сервере Debian и хочу подключить к нему маршрутизатор Zyxel USG210.

Пока что я столкнулся с некоторыми проблемами и не знаю точную причину. По сути, маршрутизатор пытается подключиться к VPN и терпит неудачу, но сервер VPN отображает установленное соединение.

Вот вывод ipsec statusall:

Status of IKE charon daemon (strongSwan 5.5.1, Linux 4.9.0-8-amd64, x86_64):
  uptime: 44 minutes, since Jan 09 13:31:32 2019
  malloc: sbrk 2568192, mmap 0, used 546128, free 2022064
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 5
  loaded plugins: charon aesni aes rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm attr kernel-netlink resolve socket-default connmark farp stroke vici updown eap-identity eap-aka eap-md5 eap-gtc eap-mschapv2 eap-radius eap-tls eap-ttls eap-tnc xauth-generic xauth-eap xauth-pam tnc-tnccs dhcp lookip error-notify certexpire led addrblock unity
Listening IP addresses:
  192.168.0.98
Connections:
      tunnel:  192.168.0.98...192.168.0.1  IKEv2, dpddelay=30s
      tunnel:   local:  [192.168.0.98] uses pre-shared key authentication
      tunnel:   remote: [192.168.0.1] uses pre-shared key authentication
      tunnel:   child:  192.168.19.0/24 === 192.168.0.0/24 TUNNEL, dpdaction=restart
Security Associations (1 up, 0 connecting):
      tunnel[3]: ESTABLISHED 41 minutes ago, 192.168.0.98[192.168.0.98]...192.168.0.1[192.168.0.1]
      tunnel[3]: IKEv2 SPIs: b687xxxxxxxxxxxx7f_i 206exxxxxx0f7_r*, pre-shared key reauthentication in 9 minutes
      tunnel[3]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024

Мой ipsec.conf:

conn tunnel
    auto=start
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    ike=default
    esp=default
    dpdaction=restart
    dpddelay=30s
    ikelifetime=1h
    #rekey=no
    left=192.168.0.1
    #leftid=%any
    leftsubnet=192.168.0.0/24
    right=192.168.0.98
    #rightid=%any
    rightdns=8.8.8.8,8.8.4.4
    rightsourceip=192.168.19.0/24
    rightsubnet=192.168.19.0/24
    authby=secret

Мой swanctl.conf:

connections {

   site-site {
      local_addrs  = 192.168.0.98
      remote_addrs = 192.168.0.1

      local {
         auth = psk
         id = testvpn.domain.tld
      }
      remote {
         auth = psk
         id = router.domain.tld
      }
      children {
         site-site {
            local_ts  = 192.168.18.0/24
            remote_ts = 192.168.0.0/24
            updown = /usr/local/libexec/ipsec/_updown iptables
            rekey_time = 5400
            rekey_bytes = 500000000
            rekey_packets = 1000000
            esp_proposals = aes128gcm128-x25519-aes256-sha256
         }
      }
      version = 2
      mobike = no
      reauth_time = 10800
      proposals = aes256-sha256-x25519
   }
}
secrets {
   ike-1 {
      id-1 = 192.168.0.98
      secret = 'test12345'
   }
   ike-2 {
      id-2 = 192.168.0.1
      secret = 'test12345'
   }
   ike-3 {
      id-3a = 192.168.0.98
      id-3b = 192.168.0.1
      secret = 'test12345'
   }
}

Я довольно незнаком с вещами сервера StrongSWAN/VPN в целом, поэтому я, скорее всего, допустил какую-то ошибку, просто не зная, где искать.
Буду признателен за любую помощь.

Спасибо!

0

vpn ipsec site-to-site-vpn strongswan zyxel

Источник

D. Fun 09 янв '19 в 13:40

0 ответов

Другие вопросы по тегам vpn ipsec site-to-site-vpn strongswan zyxel