Я новичок в strongswan и linux, поэтому я пытаюсь настроить vpn-соединение между кластером брандмауэра linux и шлюзом контрольной точки.
Итак, это мой список узлов и ресурсов:
root@Deb-FW-C1:/etc# crm status Сводка по кластеру:
- Стек: коросинк
- Текущий DC: fw-c2 (версия 2.0.5-ba59be7122) — раздел с кворумом
- Последнее обновление: сб, 1 апр., 12:04:28 2023 г.
- Последнее изменение: 1 апреля 12:04:25 2023 от root через cibadmin на iantwy
- настроено 2 узла
- Настроено 3 экземпляра ресурса
Список узлов:
- В сети: [ fw-c2 fw-c1 ]
Полный список ресурсов:
- ping-шлюз (ocf::pacemaker:ping): запущен fw-c2
- Группа ресурсов: FW-CLUSTER:
- БРАНДМАУЭР (младший бит:брандмауэр): запущен fw-c1
- CL-VIP (ocf::heartbeat:IPaddr2): запущен fw-c2
Это мой /etc/ipsec.conf
подключение linux к cp
тип=туннель
leftupdown=/usr/local/sbin/ipsec.sh
отметка=300
слева=xxx190
левый=xxx190
левая подсеть = 192.168.3.0/24
справа=xxx201
правая подсеть = 192.168.4.0/24
авторизация = секрет
обмен ключами=ikev2
ike=aes128-sha1-modp1024
ikelifetime=28800с
esp = aes128-sha1-modp1024
срок службы = 3600 с
dpddelay=10s
dpdtimeout = 30 с
dpdaction=перезагрузка
авто=старт
ipsec.secrets
#источник назначение
xxx190 xxx201:PSK «брандмауэр-linux-pass»
При запуске ipsec:
root@Deb-FW-C1:/etc# перезапуск ipsec
Остановка strongSwan IPsec…
Запуск strongSwan 5.9.1 IPsec [starter]…
root@Deb-FW-C1:/etc# статус ipsec
Ассоциации безопасности (0 вверх, 1 подключение):
linux-to-cp[1]: ПОДКЛЮЧЕНИЕ, xxx190[%any]…xxx201[%any]
Статус Systemctl strongswan-starter
root@Deb-FW-C1:/etc# статус systemctl strongswan-starter
● strongswan-starter.service — демон strongSwan IPsec IKEv1/IKEv2, использующий ipsec.conf
Загружено: загружено (/lib/systemd/system/strongswan-starter.service; включено; поставщик > предустановлено: включено)
Активен: неактивен (мертв) с сб 01.04.2023 11:47:46 +04; 58 минут назад
Процесс: 252511 ExecStart=/usr/sbin/ipsec start —nofork (код=выход, >статус=0/УСПЕХ)
Основной PID: 252511 (код=выход, статус=0/УСПЕХ)
ЦП: 12 мс01 апр 11:47:46 Deb-FW-C1 systemd[1]: Запущен демон strongSwan IPsec IKEv1/IKEv2 > с использованием ipsec.conf.
01 апр 11:47:46 Deb-FW-C1 ipsec[252511]: Запуск strongSwan 5.9.1 IPsec [starter]…
01 апр 11:47:46 Deb-FW-C1 ipsec_starter[252511]: Запуск strongSwan 5.9.1 IPsec [starter]…
01 апр 11:47:46 Deb-FW-C1 ipsec_starter[252511]: charon уже запущен (/var/run/charon.pid существует) — пропуск демона s>
01 апр 11:47:46 Deb-FW-C1 ipsec[252511]: charon уже запущен (/var/run/charon.pid существует) — запуск демона пропускается
01 апр 11:47:46 Deb-FW-C1 ipsec[252511]: стартер уже запущен (/var/run/starter.charon.pid существует) — форк не сделан
01 апр 11:47:46 Deb-FW-C1 ipsec_starter[252511]: стартер уже запущен (/var/run/starter.charon.pid существует) — форка нет >
01 апр 11:47:46 Deb-FW-C1 systemd[1]: strongswan-starter.service: успешно.
Я настроил контрольную точку в графическом интерфейсе, и они оба имеют одинаковую конфигурацию шифрования, и я создал совместимый объект для брандмауэра Linux и добавил правило vpn для пропуска трафика. Я также добавил порты IKE UDP 500 и 4500 для IPSEC NAT. Также общий секретный ключ такой же. Но проблема может быть в файле конфигурации в брандмауэре Linux.
Любая помощь в том, почему он застрял при подключении?
Ян Твай