IPSEC与Strongswan site to site出现问题

ZeroKong · 发表于 2022-12-6 15:15:49

本帖最后由 ZeroKong 于 2022-12-6 15:35 编辑

不清楚啥情况，双方一直连不上。配置IP已被隐藏处理
Linux配置#ipsec.conf
config setup

conn %default
      ikelifetime=60m
      keylife=20m
      rekeymargin=3m
      keyingtries=1
      authby=secret
      keyexchange=ikev2
      mobike=no

conn net-net
      left=1.1.1.1
      leftsubnet=10.0.1.0/24
      leftid=@ipsec01
      leftfirewall=yes
      right=%any
      rightsubnet=10.1.0.0/16
      rightid=@ikuai01
      auto=start

# ipsec.secrets - strongSwan IPsec secrets file
@ipsec01 @ikuai01 : PSK "1234567890"

爱快配置

Linux日志
00[JOB] spawning 16 worker threads
charon (23103) started after 240 ms
05[CFG] received stroke: add connection \\\'net-net\\\'
05[CFG] added configuration \\\'net-net\\\'
05[CFG] received stroke: initiate \\\'net-net\\\'
05[IKE] initiating IKE_SA net-net[1] to 2.2.2.2
05[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
05[NET] sending packet: from 1.1.1.1[500] to 2.2.2.2[500] (1064 bytes)
10[IKE] retransmit 1 of request with message ID 0
10[NET] sending packet: from 1.1.1.1[500] to 2.2.2.2[500] (1064 bytes)
07[IKE] retransmit 2 of request with message ID 0
07[NET] sending packet: from 1.1.1.1[500] to 2.2.2.2[500] (1064 bytes)
08[IKE] retransmit 3 of request with message ID 0
08[NET] sending packet: from 1.1.1.1[500] to 2.2.2.2[500] (1064 bytes)
11[IKE] retransmit 4 of request with message ID 0
11[NET] sending packet: from 1.1.1.1[500] to 2.2.2.2[500] (1064 bytes)
16[IKE] retransmit 5 of request with message ID 0
16[NET] sending packet: from 1.1.1.1[500] to 2.2.2.2[500] (1064 bytes)
08[IKE] giving up after 5 retransmits
08[IKE] establishing IKE_SA failed, peer not responding

爱快日志
Dec 6 15:12:00
05[IKE] initiating IKE_SA vpn-1[492] to 1.1.1.1

Dec 6 15:12:00
05[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]

Dec 6 15:12:00
05[NET] sending packet: from 2.2.2.2[500] to 1.1.1.1[500] (642 bytes)

Dec 6 15:12:04
16[IKE] retransmit 1 of request with message ID 0

Dec 6 15:12:04
16[NET] sending packet: from 2.2.2.2[500] to 1.1.1.1[500] (642 bytes)

Dec 6 15:12:11
10[IKE] retransmit 2 of request with message ID 0

Dec 6 15:12:11
10[NET] sending packet: from 2.2.2.2[500] to 1.1.1.1[500] (642 bytes)

Dec 6 15:12:24
15[IKE] retransmit 3 of request with message ID 0

Dec 6 15:12:24
15[NET] sending packet: from 2.2.2.2[500] to 1.1.1.1[500] (642 bytes)

Dec 6 15:12:47
11[IKE] retransmit 4 of request with message ID 0

Dec 6 15:12:47
11[NET] sending packet: from 2.2.2.2[500] to 1.1.1.1[500] (642 bytes)

Dec 6 15:13:29
08[IKE] retransmit 5 of request with message ID 0

Dec 6 15:13:29
08[NET] sending packet: from 2.2.2.2[500] to 1.1.1.1[500] (642 bytes)

找了另一台PC测试Linux端口未发现异常，是放通的状态

爱快技术支持01 · 发表于 2022-12-6 15:49:43

楼主您好，推荐使用咱们爱快SD-WAN业务一键组网轻松便捷
https://www.ikuai8.com/zhic/ymgn ... 06-24-08-35-27.html

==========================================================================
如回复您这边还有需要协助可联系爱快技术工程师爱快已开通快速服务码通道，使用服务码可通过多渠道（爱快路由官网、微信小程序爱快微云、手机APP爱快e云，微信公众号爱快智能网络）进行技术咨询可以快速解决您的问题，具体操作步骤请看以下帮助链接
新内核版本测试固件帖：https://bbs.ikuai8.com/thread-129069-1-1.html
文本教程：http://ikuai9.com:555/s/fu36pp
视频教程：http://ikuai9.com:555/s/t0katu

尊敬的爱快用户，插播一条喜大普奔消息
爱快e云支持远程管理爱快路由、AP、交换机，更有丰富的网络检测/验收工具，新上线的方案设计功能更是为项目而生，目前Android和iOS端均已支持下载。
可打开此网址跳转下载链接进行下载：
https://www.ikuai8.com/product/software/client-app.html
苹果用户也可以直接在应用商店搜索爱快E云下载哦

ZeroKong · 发表于 2022-12-6 15:59:33

爱快技术支持01 发表于 2022-12-6 15:49
楼主您好，推荐使用咱们爱快SD-WAN业务一键组网轻松便捷
https://www.ikuai8.com/zhic/ymgn/yptym/2019-06- ...

不能解决公网映射的问题啊，而且贵啊

ZeroKong · 发表于 2022-12-6 16:00:47

本帖最后由 ZeroKong 于 2023-8-21 20:53 编辑

爱快技术支持01 发表于 2022-12-6 15:49
楼主您好，推荐使用咱们爱快SD-WAN业务一键组网轻松便捷
https://www.ikuai8.com/zhic/ymgn/yptym/2019-06- ...

问题已解决

riskers · 发表于 2023-3-19 23:58:21

爱快的 Strongswan site to site 你解决了吗？我也一样和你遇到难题

ZeroKong · 发表于 2023-8-21 20:46:36

riskers 发表于 2023-3-19 23:58爱快的 Strongswan site to site 你解决了吗？我也一样和你遇到难题

已解决linux安装strongswan

/etc/strongswan/ipsec.conf 配置如下
# ipsec.conf - strongSwan IPsec configuration file

# Basic configuration
config setup
      # nat_traversal=yes
      # virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
      # plutostderrlog=/var/log/pluto.log

conn %default
            ike=aes128-aes192-aes256-3des-des-sha-md5-sha256-sha384-sha512-modp1024-modp768-modp2048-modp3072-modp4096
            esp=aes128-aes256-3des-sha-sha256-md5

conn SZ-ikuai01
            auto=add
            keyexchange=ikev2
            left=%any
            right=%any
            keyingtries=%forever
            ikelifetime=3h
            ike=aes128-md5-modp768  #根据自己情况修改
            authby=secret
            leftid=SZAliyun  #根据自己情况修改
            rightid=ikuai01  #根据自己情况修改
            type=tunnel
            leftsubnet=192.168.0.202/32  #根据自己情况修改
            rightsubnet=10.1.0.0/21  #根据自己情况修改
            lifetime=1h
            esp=aes128-md5  #根据自己情况修改
            closeaction=restart

ipsec.secrets就不多说了都差不多。多亏ikuai早期版本有命令执行漏洞。。。我直接跑进路由器系统里抄了一份出来的。

		自动登录	找回密码
密码			立即注册

[3.X] IPSEC与Strongswan site to site出现问题

站长推荐 /2