Я пытаюсь настроить туннель IPSec между двумя LXC Debian Jessie на одном физическом сервере (также Debian). Вот моя топология сети:
172.17.23.0/24 ---- 172.17.23.100 - VPN1 - 10.73.52.1 ==== 10.73.53.2 - VPN2 - 192.168.100.100 ---- 192.168.100.0/24
Конфигурация VPN1 и VPN2 одинакова, я аутентифицируюсь с помощью Pre-Shared-Key:
/etc/ipsec.conf config setup charondebug = "all" uniqueids = yes
conn %default
conn testconn
left=10.73.53.1
leftsubnet=172.17.23.0/24
right=10.73.53.2
rightsubnet=192.168.100.0/24
ike=aes128-sha1-modp1024
esp=aes128-sha1
keyingtries=0
ikelifetime=60m
auto=start
closeaction=restart
keylife=20m
rekeymargin=3m
keyexchange=ike
mobike=no
authby=secret
type=tunnel
/etc/ipsec.secrets 10.73.53.1 10.73.53.2: PSK "Пароль здесь"
Я запускаю обе стороны ipsec start и вверх text связь ipsec up
root@vpn1:~# ipsec up testconn
initiating IKE_SA testconn[3] to 10.73.53.2
generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
sending packet: from 10.73.53.1[500] to 10.73.53.2[500] (304 bytes)
received packet: from 10.73.53.2[500] to 10.73.53.1[500] (36 bytes)
parsed IKE_SA_INIT response 0 [ N(NO_PROP) ]
received NO_PROPOSAL_CHOSEN notify error
establishing connection 'testconn' failed
Idem pour vpn2.
Я получил похожие сообщения в системном журнале.
Я не понимаю, почему я получаю это NO_PROPOSAL_CHOSEN, поскольку я пытаюсь принудительно выбрать алгоритмы, которые будут использоваться в /etc/ipsec.conf файл !
Большое спасибо за вашу помощь, не стесняйтесь обращаться за дополнительной информацией.
РЕДАКТИРОВАТЬ: Вот выдержка из / var / log / syslog из VPN2 (получение соединения):
vpn2 charon: 07[NET] sending packet: from 10.73.53.2[500] to 10.73.53.1[500] (940 bytes)
vpn2 charon: 09[NET] received packet: from 10.73.53.1[500] to 10.73.53.2[500] (36 bytes)
vpn2 charon: 09[ENC] parsed IKE_SA_INIT response 0 [ N(NO_PROP) ]
vpn2 charon: 09[IKE] received NO_PROPOSAL_CHOSEN notify error
vpn2 charon: 10[NET] received packet: from 10.73.53.254[500] to 10.73.53.2[500] (940 bytes)
vpn2 charon: 10[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
vpn2 charon: 10[IKE] no IKE config found for 10.73.53.2...10.73.53.254, sending NO_PROPOSAL_CHOSEN
Я получил это no IKE config found, поиск в Google не особо помогает: /
EDIT2: вот результат ipsec statusall :
root@vpn1:~# ipsec statusall
Status of IKE charon daemon (strongSwan 5.2.1, Linux 3.16.0-4-amd64, x86_64):
uptime: 46 minutes, since Dec 15 14:56:02 2017
malloc: sbrk 2408448, mmap 0, used 310128, free 2098320
worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 0
loaded plugins: charon aes rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm attr kernel-netlink resolve socket-default stroke updown
Listening IP addresses:
172.17.23.10
10.73.53.1
Connections:
test: 10.73.53.1...10.73.53.2 IKEv1/2
test: local: [10.73.53.1] uses pre-shared key authentication
test: remote: [10.73.53.2] uses pre-shared key authentication
test: child: 172.17.23.0/24 === 192.168.100.0/24 TUNNEL
Security Associations (0 up, 0 connecting):
none
root@vpn1:~#
У меня точно так же на сервере VPN2 (за исключением того, что 172.17.23.0/24 заменен на 192.168.100.0/24, что является локальной подсетью на стороне VPN2).
Это не соответствует попытке подключения к конфигурации на вашем сервере strongswan.
Что будет на выходе, если запустить ipsec statusall? Команда может быть «strongswan statusall» - похоже, она различается в зависимости от дистрибутива, она покажет, какие конфигурации вы загрузили.