strongswan ans ios

Автор deniss, 17 декабря 2016, 23:56:33

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

deniss

Привет всем!

Пытаюсь настроить strongswan для ios и никак не получается.

Вот конфиг:


config setup
        strictcrlpolicy         = yes
        charondebug             = "ike 2"
        protostack              = auto


conn %default
        keyexchange             = ikev2
        leftsubnet              = 0.0.0.0/0,::0/0
        right                   = %any
        rightdns                = 8.8.8.8
        authby                  = secret
        dpdaction               = clear
        rekey                   = no

conn ios
        left                    = vpn.example.com
        leftid                  = vpn.example.com
        leftsubnet              = 0.0.0.0/0
        leftfirewall            = yes
        leftauth                = psk
        right                   = %any
        rightid                 = %any
        rightsubnet             = %any
        rightsourceip           = 0.0.0.0/0 # 10.1.0.192/27
        rightauth               = psk
        keyexchange             = ikev2
        ike                     = aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024!
        esp                     = aes128gcm16-ecp256,aes256gcm16-ecp384,aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024,aes128gcm16,aes256gcm16,aes128-sha256,aes128-sha1,aes256-sha384,aes256-sha256,aes256-sha1!
        eap_identity            = %identity
        mobike                  = yes
        auto                    = add
        authby                  = secret
        type                    = tunnel



/etc/ipsec.secrets
Цитировать
: PSK "test"

ipsec statusall
Цитировать
Status of IKE charon daemon (strongSwan 5.2.1, Linux 3.16.0-4-amd64, x86_64):
  uptime: 6 hours, since Dec 17 16:14:12 2016
  malloc: sbrk 2830336, mmap 0, used 665984, free 2164352
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 2
  loaded plugins: charon test-vectors ldap pkcs11 aes rc2 sha1 sha2 md5 rdrand random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt af-alg fips-prf gmp agent xcbc cmac hmac ctr ccm gcm curl attr kernel-netlink resolve socket-default stroke updown
Virtual IP pools (size/online/offline):
  0.0.0.0/0: 2147483646/1/0
Listening IP addresses:
  111.222.333.444
  10.1.0.1
Connections:
         ios:  111.222.333.444...%any  IKEv2, dpddelay=30s
         ios:   local:  [vpn.example.com] uses pre-shared key authentication
         ios:   remote: uses pre-shared key authentication
         ios:   child:  0.0.0.0/0 === 0.0.0.0/32 TUNNEL, dpdaction=clear
Security Associations (1 up, 0 connecting):
         ios[1]: ESTABLISHED 28 seconds ago, 111.222.333.444[vpn.example.com]...46.211.146.1[10.244.215.246]
         ios[1]: IKEv2 SPIs: ef9b2246c8fd9a51_i 85b5810625123133_r*, rekeying disabled
         ios[1]: IKE proposal: AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
         ios{1}:  INSTALLED, TUNNEL, ESP in UDP SPIs: ce2d5041_i 0ea46faf_o
         ios{1}:  AES_CBC_128/HMAC_SHA1_96, 712 bytes_i, 0 bytes_o, rekeying disabled
         ios{1}:   0.0.0.0/0 === 0.0.0.0/32

Клиент подключается, но траффик через впн не идет...

madmas

deniss, Привет

Тебе удалось настроить?

У меня аналогичная проблема, только вместо обычной циски у меня роутер CISCO RV180.
Т.е. циску я могу настраивать только через веб моську, никакой консоли и гибкости.

И на данный момент застрял тоже на установке соединения. Т.е. соединение поднимается, но пакеты не ходят.

Хотелось бы узнать в чем проблема.


deniss

я долго мучался и настроил ipsec+xl2tp