OK
Судя по ошибке, у тебя modp2048 , а у него 1024.. поменяй у себя на 1024 и еще раз дебагни
Size: a a a
2020 February 09
2020 February 10
p
Не знаю, какой у вас centos, но как минимум с 6ки стандарт - Libreswan.
а почему libreswan, а не strongswan?
p
Имею на своей стороне (клиент) CentOS; l2tp + ipsec + strongswan
Нужно настроить подключение к VPN-серверу на Windows Server 2016
Всё что мне предоставили: IP сервера, PSK, логин и пароль
# ipsec.conf - strongSwan IPsec configuration file
# basic configuration
config setup
#strictcrlpolicy=yes
#uniqueids=no
conn %default
ikelifetime=8h
keylife=1h
conn disvpn
type=transport
keyexchange=ikev2
rekey=yes
reauth=no
closeaction=clear
left=192.168.8.5
leftid="CN=strongswan.corp.test-env.com"
leftcert=client-cert.pem
leftsendcert=always
right=37.18.74.213
rightid="CN=WIN-IPSEC.CORP.TEST-ENV.COM"
rightsendcert=always
ike=aes256-sha2_256-modp2048
esp=aes256-sha2_256
auto=route
Нужно настроить подключение к VPN-серверу на Windows Server 2016
Всё что мне предоставили: IP сервера, PSK, логин и пароль
# ipsec.conf - strongSwan IPsec configuration file
# basic configuration
config setup
#strictcrlpolicy=yes
#uniqueids=no
conn %default
ikelifetime=8h
keylife=1h
conn disvpn
type=transport
keyexchange=ikev2
rekey=yes
reauth=no
closeaction=clear
left=192.168.8.5
leftid="CN=strongswan.corp.test-env.com"
leftcert=client-cert.pem
leftsendcert=always
right=37.18.74.213
rightid="CN=WIN-IPSEC.CORP.TEST-ENV.COM"
rightsendcert=always
ike=aes256-sha2_256-modp2048
esp=aes256-sha2_256
auto=route
странный конфиг. сами писали? и если у вас psk, то причем тут сертификаты?
p
Но, буду заранее благодарен, за example конфига, который необходим в моем случае
https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients.md
ну и можно пойти почитать тесткейсы strongswan
ну и можно пойти почитать тесткейсы strongswan
MI
а почему libreswan, а не strongswan?
Не вдавался в подробности. Документация рекомендует.
AA
Народ кто пользуется программой cisco packet tracer?
АВ
Может вопрос задашь?
p
Не вдавался в подробности. Документация рекомендует.
🤦♂
MI
🤦♂
Мне лень читать документацию. Предлагаю автору вопроса самостоятельно туда пройти, и посмотреть, почему рекомендуется использовать тот вариант, а не другой.
MI
На память причину я не помню.
AA
Прохожу урок сети для самых маленьких, в уроке по настройке ACL Nat, не получается создать видимость между двумя роутера мира через коммутатор провайдера, хотя вроде как сделал все как в уроке.
AA
AA
AA
Между ними комут с созданым vlan6, через команду show running на борту коммута влан 6 не видно, но когда захожу в конфигурации в database влан 6 виден....на обоих портах в коммуте транком стоит влан 6, но через пинг эти два роутера друг друга не видят, хотя в одной под сети.
MO
Alex Alex
Народ кто пользуется программой cisco packet tracer?
Есть такие
NK
https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/docs/clients.md
ну и можно пойти почитать тесткейсы strongswan
ну и можно пойти почитать тесткейсы strongswan
именно так и брал за основу настройку клиентской части
MO
Alex Alex
Между ними комут с созданым vlan6, через команду show running на борту коммута влан 6 не видно, но когда захожу в конфигурации в database влан 6 виден....на обоих портах в коммуте транком стоит влан 6, но через пинг эти два роутера друг друга не видят, хотя в одной под сети.
Sh Mac add table ; sh arp и посмотри что где.
NK
и вот что получаю:
initiating IKE_SA disvpn[17] to 37.18.74.213
generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
sending packet: from 89.208.198.197[500] to 37.18.74.213[500] (1504 bytes)
received packet: from 37.18.74.213[500] to 89.208.198.197[500] (38 bytes)
parsed IKE_SA_INIT response 0 [ N(INVAL_KE) ]
peer didn't accept DH group MODP_3072, it requested MODP_1024
initiating IKE_SA disvpn[17] to 37.18.74.213
generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
sending packet: from 89.208.198.197[500] to 37.18.74.213[500] (1248 bytes)
received packet: from 37.18.74.213[500] to 89.208.198.197[500] (360 bytes)
parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) V V ]
received MS NT5 ISAKMPOAKLEY v9 vendor ID
received MS-Negotiation Discovery Capable vendor ID
selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
no IDi configured, fall back on IP address
authentication of '89.208.198.197' (myself) with pre-shared key
establishing CHILD_SA disvpn{17}
generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH N(USE_TRANSP) SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
sending packet: from 89.208.198.197[4500] to 37.18.74.213[4500] (348 bytes)
received packet: from 37.18.74.213[4500] to 89.208.198.197[4500] (68 bytes)
parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]
received AUTHENTICATION_FAILED notify error
establishing connection 'disvpn' failed
initiating IKE_SA disvpn[17] to 37.18.74.213
generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
sending packet: from 89.208.198.197[500] to 37.18.74.213[500] (1504 bytes)
received packet: from 37.18.74.213[500] to 89.208.198.197[500] (38 bytes)
parsed IKE_SA_INIT response 0 [ N(INVAL_KE) ]
peer didn't accept DH group MODP_3072, it requested MODP_1024
initiating IKE_SA disvpn[17] to 37.18.74.213
generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]
sending packet: from 89.208.198.197[500] to 37.18.74.213[500] (1248 bytes)
received packet: from 37.18.74.213[500] to 89.208.198.197[500] (360 bytes)
parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) V V ]
received MS NT5 ISAKMPOAKLEY v9 vendor ID
received MS-Negotiation Discovery Capable vendor ID
selected proposal: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
no IDi configured, fall back on IP address
authentication of '89.208.198.197' (myself) with pre-shared key
establishing CHILD_SA disvpn{17}
generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH N(USE_TRANSP) SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]
sending packet: from 89.208.198.197[4500] to 37.18.74.213[4500] (348 bytes)
received packet: from 37.18.74.213[4500] to 89.208.198.197[4500] (68 bytes)
parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]
received AUTHENTICATION_FAILED notify error
establishing connection 'disvpn' failed
AA
Команда arp ничего не выводит
О
Alex Alex
Команда arp ничего не выводит
PROWAIDER