บรรจวบ เข้าสู่ระบบ
Score:0
deann avatar Server

ปัญหาในการกำหนดค่าไคลเอนต์ strongSwan บนอินสแตนซ์ AWS สำหรับ VPN แบบไซต์ต่อไซต์

ธง ru
deann

ฉันกำลังพยายามตั้งค่าไคลเอ็นต์ IPSec VPN บนอินสแตนซ์ AWS แบบเดเบียน-10

น่าเสียดายที่ฉันไม่สามารถเข้าถึงเซิร์ฟเวอร์ VPN ได้เนื่องจากได้รับการกำหนดค่าโดยบุคคลอื่น ดังนั้นสิ่งที่ฉันรู้ก็คือพวกเขาบอกว่ามีการกำหนดค่าสำหรับฉัน my-aws-ประชาชน-ip.

ฉันกำลังพยายามใช้ Strongswan - Linux strongSwan U5.7.2/K4.19.0-16-cloud-amd64

นี่คือไฟล์ conf ของฉัน:

การตั้งค่าคอนฟิก
        รหัสเฉพาะ=ไม่มี
        charondebug="ทั้งหมด"

เชื่อมต่อ VPN
        พิมพ์=อุโมงค์
        การแลกเปลี่ยนคีย์=ikev2
        ก้าวร้าว=ไม่
        authby = ความลับ
        อัตโนมัติ = เพิ่ม
        ike=aes256-sha256-modp2048!
        esp=aes256-sha256-modp2048!
        ikelifetime=28800s
        ซ้าย = my-aws-internal-ip
        leftid=my-aws-public-ip
        leftsubnet=192.168.140.120/29
        leftsourceip=192.168.140.121
        right=another-party-peer-ip
        rightsubnet=another-party-tunnel-network/mask
        dpddelay=300 วินาที
        dpdtimeout=120 วินาที
        dpdaction=รีสตาร์ท
        คีย์ใหม่=ใช่
        รับรอง=ใช่
        คีย์ไลฟ์=3600 วินาที
        ปิด = เริ่มใหม่
        ห่อหุ้ม=ใช่
        ฟอร์ซเอนแคป=ใช่
        นโยบายการติดตั้ง=ใช่

เมื่อฉัน sudo systemctl รีสตาร์ท strongswanฉันได้รับบริการที่ใช้งานอยู่ อย่างไรก็ตาม ดูเหมือนว่าฉันไม่ได้เป็นส่วนหนึ่งของ VPN เนื่องจากฉันไม่สามารถ ping ใดๆ ได้เลย อีกพรรคอุโมงค์เครือข่าย ที่อยู่ IP

การใช้ IP แบบยืดหยุ่นบน AWS ฉันถือว่าฉันอยู่เบื้องหลัง NAT นั่นเป็นปัญหาสำหรับการถ่ายโอนแพ็คเกจผ่านอุโมงค์ IPSec หรือไม่

คุณเห็นสิ่งผิดปกติกับไฟล์ conf ของฉันหรือไม่?

สุดท้าย แต่ไม่ท้ายสุด เมื่อฉันได้รับแจ้งจากบุคคลอื่นว่าพวกเขาได้กำหนดค่า VPN สำหรับ my-aws-public-ip ฉันได้รับไฟล์ที่มีข้อมูลเกี่ยวกับเครือข่าย เช่น เวอร์ชัน IKE, โหมด Authenticaiton, Preshared Key เป็นต้น ฉันได้แทรกคีย์ Preshared ใน /etc/ipsec.secrets โดยใช้ไวยากรณ์ต่อไปนี้: : PSK "my-preshared-key" นอกจากนี้ ในไฟล์ที่มีข้อมูลเครือข่าย มีการกล่าวว่าพวกเขาได้กำหนดค่าข้อมูลรายการการเข้าถึง VPN Tunnel สำหรับเครือข่าย: 192.168.140.120/29 และกฎความปลอดภัยของไฟร์วอลล์สำหรับ 192.168.140.121 ดังนั้นฉันจึงเพิ่ม ซับเน็ตซ้าย และ ซ้ายsourceip ในไฟล์คอนฟิก นี่ไม่ใช่ซับเน็ต AWS ของฉัน นั่นเป็นประเด็นหรือไม่? ฉันได้เพิ่มส่วนต่อประสานกับ ที่อยู่ IP sudo เพิ่ม 192.168.140.121/29 dev ens5และฉันเห็นด้วย ไอพี.

ความช่วยเหลือใด ๆ ที่จะได้รับการชื่นชมอย่างมาก

ขอบคุณ

22
0 + 0
cn flag
ecdsa
ด้วย `auto=add` การเชื่อมต่อจะไม่เริ่มต้นโดยอัตโนมัติ เปลี่ยนเป็น `start` หรือ 'route' หรือใช้ `sudo ipsec up vpn` เพื่อเริ่มการเชื่อมต่อด้วยตนเอง โปรดทราบว่า `leftsourceip` มีไว้สำหรับการเจรจา IP เสมือนแบบไดนามิก ไม่จำเป็นสำหรับ IP ภายในแบบสแตติก `leftsubnet` ก็เพียงพอแล้ว
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา