Strongswan VPN с зависанием контрольной точки при подключении

Я новичок в strongswan и linux, поэтому я пытаюсь настроить vpn-соединение между кластером брандмауэра linux и шлюзом контрольной точки.

Итак, это мой список узлов и ресурсов:

root@Deb-FW-C1:/etc# crm status Сводка по кластеру:

  • Стек: коросинк
  • Текущий DC: fw-c2 (версия 2.0.5-ba59be7122) — раздел с кворумом
  • Последнее обновление: сб, 1 апр., 12:04:28 2023 г.
  • Последнее изменение: 1 апреля 12:04:25 2023 от root через cibadmin на iantwy
  • настроено 2 узла
  • Настроено 3 экземпляра ресурса

Список узлов:

  • В сети: [ fw-c2 fw-c1 ]

Полный список ресурсов:

  • ping-шлюз (ocf::pacemaker:ping): запущен fw-c2
  • Группа ресурсов: FW-CLUSTER:
  • БРАНДМАУЭР (младший бит:брандмауэр): запущен fw-c1
  • CL-VIP (ocf::heartbeat:IPaddr2): запущен fw-c2

Это мой /etc/ipsec.conf

подключение linux к cp

тип=туннель
leftupdown=/usr/local/sbin/ipsec.sh
отметка=300
слева=xxx190
левый=xxx190
левая подсеть = 192.168.3.0/24
справа=xxx201
правая подсеть = 192.168.4.0/24
авторизация = секрет
обмен ключами=ikev2
ike=aes128-sha1-modp1024
ikelifetime=28800с
esp = aes128-sha1-modp1024
срок службы = 3600 с
dpddelay=10s
dpdtimeout = 30 с
dpdaction=перезагрузка
авто=старт

ipsec.secrets

#источник назначение
xxx190 xxx201:PSK «брандмауэр-linux-pass»

При запуске ipsec:

root@Deb-FW-C1:/etc# перезапуск ipsec
Остановка strongSwan IPsec…
Запуск strongSwan 5.9.1 IPsec [starter]…
root@Deb-FW-C1:/etc# статус ipsec
Ассоциации безопасности (0 вверх, 1 подключение):
linux-to-cp[1]: ПОДКЛЮЧЕНИЕ, xxx190[%any]…xxx201[%any]

Статус Systemctl strongswan-starter

root@Deb-FW-C1:/etc# статус systemctl strongswan-starter
● strongswan-starter.service — демон strongSwan IPsec IKEv1/IKEv2, использующий ipsec.conf
Загружено: загружено (/lib/systemd/system/strongswan-starter.service; включено; поставщик > предустановлено: включено)
Активен: неактивен (мертв) с сб 01.04.2023 11:47:46 +04; 58 минут назад
Процесс: 252511 ExecStart=/usr/sbin/ipsec start —nofork (код=выход, >статус=0/УСПЕХ)
Основной PID: 252511 (код=выход, статус=0/УСПЕХ)
ЦП: 12 мс

01 апр 11:47:46 Deb-FW-C1 systemd[1]: Запущен демон strongSwan IPsec IKEv1/IKEv2 > с использованием ipsec.conf.
01 апр 11:47:46 Deb-FW-C1 ipsec[252511]: Запуск strongSwan 5.9.1 IPsec [starter]…
01 апр 11:47:46 Deb-FW-C1 ipsec_starter[252511]: Запуск strongSwan 5.9.1 IPsec [starter]…
01 апр 11:47:46 Deb-FW-C1 ipsec_starter[252511]: charon уже запущен (/var/run/charon.pid существует) — пропуск демона s>
01 апр 11:47:46 Deb-FW-C1 ipsec[252511]: charon уже запущен (/var/run/charon.pid существует) — запуск демона пропускается
01 апр 11:47:46 Deb-FW-C1 ipsec[252511]: стартер уже запущен (/var/run/starter.charon.pid существует) — форк не сделан
01 апр 11:47:46 Deb-FW-C1 ipsec_starter[252511]: стартер уже запущен (/var/run/starter.charon.pid существует) — форка нет >
01 апр 11:47:46 Deb-FW-C1 systemd[1]: strongswan-starter.service: успешно.

Я настроил контрольную точку в графическом интерфейсе, и они оба имеют одинаковую конфигурацию шифрования, и я создал совместимый объект для брандмауэра Linux и добавил правило vpn для пропуска трафика. Я также добавил порты IKE UDP 500 и 4500 для IPSEC NAT. Также общий секретный ключ такой же. Но проблема может быть в файле конфигурации в брандмауэре Linux.

Любая помощь в том, почему он застрял при подключении?

Ян Твай

0

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *