Назад | Перейти на главную страницу

Strongswan в Cisco ASA

У меня проблема с подключением двух сетей по IPsec. С одной стороны - Cisco ASA 55xx, на другом - маршрутизатор TP-Link с Debian 8.3 с StrongSwan за NAT. Проблема также в том, что у меня как-то есть сеть NETMAP / SNAT на стороне TP-Link. Но даже без этих правил соединение устанавливать не хотят. Как отладить соединение?

Моя конфигурация (ipsec.conf):

conn %default
        ikelifetime=1440m
        keylife=60m
        rekeymargin=3m
        keyingtries=1
        keyexchange=ikev1
        authby=secret


conn intel
        left=3.3.3.3 #Actual IP of Debian is 192.168.1.238
        leftsubnet=192.168.1.0/24 #This should be NETMAP/SNAT
        leftfirewall=yes
        leftid=3.3.3.3 #external IP of TP-Link
        right=4.4.4.4 #external IP of ASA
        rightsubnet=172.29.106.0/24
        rightid=4.4.4.4
        auto=start
        ike=3des-sha1-modp1024
        esp=3des-sha1
        keyexchange=ikev2
        dpdaction=restart
        dpddelay=30s
        forceencaps=yes
        type=tunnel

затем я проверяю статус, который он показывает в течение нескольких минут, но через минуту или две - «Ассоциации безопасности (0 подключено, 0 подключено):»:

root@vpnServer:/var/log# ipsec statusall
Status of IKE charon daemon (strongSwan 5.2.1, Linux 3.16.0-4-amd64, x86_64):
  uptime: 35 seconds, since Feb 05 22:54:36 2016
  malloc: sbrk 2273280, mmap 0, used 316592, free 1956688
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 1
  loaded plugins: charon aes rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm attr kernel-netlink resolve socket-default stroke updown
Listening IP addresses:
  192.168.1.238
Connections:
    intel:  3.3.3.3...4.4.4.4  IKEv2, dpddelay=30s
    intel:   local:  [3.3.3.3] uses pre-shared key authentication
    intel:   remote: [4.4.4.4] uses pre-shared key authentication
    intel:   child:  192.168.1.0/24 === 172.29.106.0/24 TUNNEL, dpdaction=restart
Security Associations (1 up, 0 connecting):
    intel[1]: CONNECTING, 3.3.3.3[%any]...4.4.4.4[%any]
    intel[1]: IKEv2 SPIs: 34262c8ac359acf7_i* 0000000000000000_r
    intel[1]: Tasks active: IKE_VENDOR IKE_INIT IKE_NATD IKE_CERT_PRE IKE_AUTH IKE_CERT_POST IKE_CONFIG CHILD_CREATE IKE_AUTH_LIFETIME IKE_MOBIKE

Похоже, он начал фазу 1, но не получил ответа. TP-LINK перенаправил на Debian 500 и 4500 портов. ifconfig:

root@vpnServer:/etc# ifconfig
eth0      Link encap:Ethernet  HWaddr 14:da:e9:98:06:1e
          inet addr:192.168.1.238  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::16da:e9ff:fe98:61e/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:620211 errors:0 dropped:2641 overruns:0 frame:0
          TX packets:16517 errors:0 dropped:0 overruns:0 carrier:3
          collisions:0 txqueuelen:1000
          RX bytes:227442404 (216.9 MiB)  TX bytes:6795053 (6.4 MiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:202 errors:0 dropped:0 overruns:0 frame:0
          TX packets:202 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:32939 (32.1 KiB)  TX bytes:32939 (32.1 KiB)

IP-маршрут

root@vpnServer:/etc# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.1     0.0.0.0         UG    1024   0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

iptables позволяет все и везде

root@vpnServer:/var/log# iptables -nvL
Chain INPUT (policy ACCEPT 129 packets, 21866 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 46 packets, 5360 bytes)
 pkts bytes target     prot opt in     out     source               destination

по каким-то причинам tcpdump не видит запросов к 4.4.4.4. пересылка разрешена

root@vpnServer:/var/log# cat  /proc/sys/net/ipv4/ip_forward
1

Я застрял на этом. Любая помощь будет оценена по достоинству.