Назад | Перейти на главную страницу

Как мне устранить неполадки туннеля IPsec (от сотового маршрутизатора к общедоступному серверу)?

Я новичок в IPsec и борюсь с настройкой, которая вскоре может широко использоваться в наших операциях (при условии, что я пойму это, в конце концов ...).

Сотовый маршрутизатор (blackbox от netModule, судя по сообщениям журнала, он работает под Linux и OpenSwan) соединяет сенсорную сеть на сайтах клиентов с нашим общедоступным сервером. Нам нужно иметь возможность подключиться к локальной сети, поэтому я попросил провайдера сотовой связи предоставить мне общедоступный IP-адрес (динамический). Как работает их настройка, общедоступные IP-адреса разрешают только трафик IPsec.

Я установил OpenSwan на нашем сервере Ubuntu (под управлением Jaunty). Это моя конфигурация подключения от /etc/ipsec.conf:

conn gprs-field-devices
    left=my.pub.lic.ip
    leftid=@vpngate.econemon.com
    #leftsubnet=192.168.1.129/25
    right=%any
    rightid=@field.econemon.com
    #rightsubnet=192.168.1.1/25
    #rightnexthop=%defaultroute
    auto=add

На маршрутизаторе у меня есть только веб-интерфейс, в котором я сделал следующие настройки:

Процесс pluto на сервере прослушивает соединения на порту 500. Он не может открыть туннель, очевидно, потому что он не знает, на каком IP-адресе находится клиент.

Я установил кодовую фразу как PSK для @field.econemon.com в /etc/ipsec.secrets а также настроил его в маршрутизаторе (который, похоже, не поддерживает сертификаты).

Моя проблема в том, что ничего не происходит. Маршрутизатор просто сообщает, что IPsec отключен. Когда я копирую IP-адрес в ipsec.conf (для "right =") и попросите сервер ipsec auto --up gprs-field-devices, он просто зависает, пока я не нажму Ctrl-C.

Что-то не так с моей настройкой? Как я могу отладить это дальше?

Мой маршрутизатор выдает следующие логи, которые кажутся связанными, но не говорят меня что-нибудь:

21 февраля 23:08:20 Netbox authpriv.warn pluto [2497]: загрузка секретов из "/etc/ipsec.secrets"

21 февраля 23:08:20 Netbox authpriv.warn pluto [2497]: загрузка секретов из "/etc/ipsec.d/hostkey.secrets"

21 февраля 23:08:20 Netbox authpriv.warn pluto [2497]: загрузка секретов из "/etc/ipsec.d/netbox0.secrets"

21 февраля 23:08:20 Netbox authpriv.warn pluto [2497]: "netbox00" # 1: переход в основной режим

21 февраля 23:08:20 Netbox daemon.err ipsec__plutorun: 104 «netbox00» # 1: STATE_MAIN_I1: инициировать

21 февраля 23:08:20 Netbox daemon.err ipsec__plutorun: ... не удалось запустить conn "netbox00"

21 февраля 23:08:22 Netbox authpriv.warn pluto [2497]: пакет от 188.40.57.4:500: игнорирование информационных данных, введите NO_PROPOSAL_CHOSEN

21 февраля 23:08:22 Netbox authpriv.warn pluto [2497]: пакет от 188.40.57.4:500: получено и проигнорировано информационное сообщение

21 февраля 23:08:28 Netbox user.warn parrot.system_controller [762]: IPSECCTRLR: туннель 0 отключен на 0 секунд

21 февраля 23:08:40 Netbox user.warn parrot.system_controller [762]: IPSECCTRLR: туннель 0 отключен на 10 секунд

21 февраля 23:08:52 Netbox authpriv.warn pluto [2497]: пакет от 188.40.57.4:500: игнорирование информационных данных, введите NO_PROPOSAL_CHOSEN

Некоторые начальные мысли:

  • Закомментированы ли записи leftsubnet, rightsubnet и rightnexthop специально?
  • leftsubnet и rightsubnet должны быть сетевыми адресами, а не адресами узлов.
  • left и right должны быть общедоступными IP-адресами устройств. % any подходит для правильного адреса.
  • leftid и rightid - это то, как устройства VPN собираются рекламировать себя. Иногда это их публичный IP-адрес. Это зависит от устройства.

Хорошее место для начала - это страница руководства ipsec.conf, который дает полезную информацию по настройке.

ipsec whack --status также полезная команда при устранении неполадок с openswan. Вот это справочная страница.