StrongSwan lanでは、lan / PKI RSA独自のCA - トンネル(アップストリーム0個、接続1個)、RSAトンネルは独自のCAなしでうまく機能します。

StrongSwan lanでは、lan / PKI RSA独自のCA - トンネル(アップストリーム0個、接続1個)、RSAトンネルは独自のCAなしでうまく機能します。

自己署名CA証明書を使用してx.509ベースのトンネルを作成しようとしています。

AWSでソリューションを作成していますが、VPNゲートウェイはDebian Stretchマシンのバージョンです。 Linux ip-10-0-0-208 4.9.0-8-amd64 #1 SMP Debian 4.9.110-3+deb9u3 (2018-08- 19 ) x86_64 GNU/Linux, StrongSwan バージョンは Linux StrongSwan U5.5.1/K4 .9.0-8-amd64 です。

まず、東のゲートウェイ専用のRSAトンネルを作成しました。

openssl genrsa -out us-east-a1.key 4096
openssl rsa -in us-east-a1.key -pubout > us-east-a1.pub

また、Simonのために同じタイプのキーを作成しました。次に、公開鍵を両方のゲートウェイにコピーし、ipsec.conf と ipsec.secrets 構成ファイルを作成しました。

この構成は問題なく実行されます。

これでCA証明書を使用する構成を構成しようとしていますが、構成は接続を確立しません。

私は以下を使用して証明書とikeを削除しました。

ipsec purgecerts
ipsec purgeike

そのため、IPsecキャッシュには何も残らず、IpsecとStrongSwanを停止しました。

それから

WestおよびEastゲートウェイ用にCAマスターキー、ルートCA証明書、RSA証明書(プライベート/パブリック)を作成しました。

その後、両方のゲートウェイに新しいipsec.confとipsec.secretsを作成しました。

トンネルの両側から始まった後

systemctl restart networking
systemctl start ipsec
systemclt start strongswan

私はコマンドを実行します

ipsec statusall

これが出力です

Status of IKE charon daemon (strongSwan 5.5.1, Linux 4.9.0-9-amd64, x86_64):<br>

稼働時間:2019年8月11日13:41:48以降45分
malloc:sbrk 1486848、mmap 0、415232を
使用キュー: 0/0 /0/0, スケジュール: 1
ロードされたプラグイン: charon aesni aes rc2 sha2 sha1 md5 ランダムな nonce x509 キャンセル制約 pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips -prf gmp netlink 構文解析ソケット デフォルト connmark ストロークアップダウン
受信 IP アドレス:
10.1.2.250
接続:
tunnel-east: 54.88.xxx.yyy...13.57.zz.dd IKEv2, dpddelay=30stunnel
-east: ローカル: [C=DE, O =Orgname、CN= east- ssw-gateway] 公開鍵認証を使用する
tunnel-east: リモート: [C=DE, O=Orgname, CN=west-ssw-gateway] 公開鍵認証を使用する
tunnel-east: child: 10.1. 0.0/16 === 10.0 .0.0/16 トンネル、dpdaction=
セキュア接続の再開 (0 上、1 接続):
トンネル-東[1]:接続、54.88.xxx.yyy[ %any]...13.57. zz.dd[%any]
トンネル East[1]: IKEv2 SPI: a157af3c58009cd8_i* 0000000000000000_r
トンネル East[1]: アクティブな操作: IKE_VENDOR IKE_INIT IKE_NATD IKE_CERT_P IKE_MOBIKE

私のipsec.conf "west"は次のとおりです。

構成設定
chaondebug="all"
Uniqueids=yes
strictcrlpolicy=no

conn%default

conntunnel-west
left=13.57.zz.dd
leftsubnet=10.0.0.0/16
right=54.88.xxx.yyy rightsubnet=10
.
-sha2_256-modp1024!
esp=aes256-sha2_256!
keyingtries=0
ikelifetime=1時間
寿命=8時間
dpddelay=30
dpdtimeout=120
dpdaction=再起動
authby=pubkey
auto=start
keyexchange=ikev2
タイプ=トンネル
leftrsasigkey=vpn-west-public-certificate.pem
rightrsas public -certificate .pem
leftid="C=DE, O=組織名, CN=west-ssw-gateway"
rightid="C=DE, O=組織名, CN=east-ssw-gateway"

include/var/lib /strongswan/ipsec。 conf.inc の ipsec.secrets "west"

は次のとおりです。

include /var/lib/strongswan/ipsec.secrets.inc

: RSA vpn-west-private-key.pem

私のipsec.conf "east"は次のようになります。

config setup<br>
    charondebug="all"<br>
    uniqueids=yes<br>
    strictcrlpolicy=no<br>


conn %default

conn トンネル東
left=54.88.xxx.yyy
leftsubnet=10.1.0.0/16
right=13.57.zz.dd
rightsubnet=10.0.0.0/16
ike=aes256-sha2_256-modp1024
esp=aes256-sha2_256!
keyingtries=0
ikelifetime=1時間
寿命=8時間
dpddelay=30
dpdtimeout=120
dpdaction=再起動
authby=pubkey
auto=start
keyexchange=ikev2
タイプ=トンネル
leftrsasigkey=vpn-east-public-certificate.pem
rightrsas public -certificate .pem
leftid="C=DE, O=組織名, CN=east-ssw-gateway"
rightid="C=DE, O=組織名, CN=west-ssw-gateway"

include/var/lib /strongswan/ipsec。会議会社

ipsec.secrets "east"は次のようになります。

include /var/lib/strongswan/ipsec.secrets.inc <br>

: RSA vpn-east-private-key.pem

両側から私は次のようになります。

Security Associations (0 up, 1 connecting):<br>

私が間違っていることを知っていますか?

ABが提案したようにleftca =を追加しましたが、何も変更されませんでした。

Charon.logです。


2019-08-11T17:34:27+0000 04[NET] ソケット書き込みエラー: 無効なパラメータ2019-08-11T17:34:27+0000 01[JOB] 3秒 999ms後中
: 34:27+0000 10[MGR] IKE_SA トンネル東チェックイン[1]
2019-08-11T17:34:27+0000 10[MGR] IKE_SA チェックイン成功
2019-08-11T17:34:31 +00 ] イベントの取得、実行待機中のジョブキュー2019-08-11T17 :34:31+0000 01
[JOB] 999ms 内次イベント
IKEv2 SA 3dbe135f4a4d8d96_i 0000000000000000_r
2019-08-11T17:34:31+0000 12[MGR] IKE_SAtunnel-east[1] 正常にチェックアウトしました 201 KE]メッセージ
でリクエスト1犬の再送信 ID 0
2019 -08-11T17:34:31+0000 12[NET] データ パケット転送: 54.88.xxx.yyy[500] から 13.57.zz.dd[500](336 バイト)
2019-08-11T17: 34 :31+0000 12[MGR] IKE_SA トンネル東チェックイン[1]
2019-08-11T17:34:31+0000 12[MGR] IKE_SA チェックイン成功
2019-08-11T17:34: 31+000送信: 54.88.xxx.yyy[500] から 13.57.zz.dd[500]
2019-08-11T17:34:31+0000 04[NET] ソケットに書き込むときのエラー: 無効なパラメータ
2019-08-11T17: 34 :31+0000 01[JOB] 998ms内の次のイベントが
2019-08-11T17:34:32+0000 01[JOB]イベントを獲得し、実行のため待機中です。ジョブ
2019-08-11T17: 34:32+0000 01[JOB] 次のイベント 6秒 200ms、待機中
2019-08-11T17:34:32+0000 13[MGR] SPIを使用するIKEv2 SA確認
00_
r 2019 -08- 11T1 7:34:32+0000 13[MGR] IKE_SA Tunnel East[1] 正常にチェックアウト
2019-08-11T17:34:32+0000 13[IKE] メッセージ ID
02019-08- 11T1 34:32+0000の2つの要求を再送信する13[NET]送信データパケット:54.88.xxx.yyy[500]から13.57.zz.dd[500](336バイト)
2019-08-11T17:34:32+0000 13 [MGR] チェックイン済み IKE_SA Tunnel East [1]
2019- 08-11T17:34:32+0000 13[MGR] IKE_SA に正常にチェックイン済み
2019-08-11T17:34:32+0000 04[NET] パケットを送信:54.88.xxx.yyy[500]から13.57.zz.dd [500]
2019-08-11T17:34:32+0000 04[NET]ソケット書き込みエラー:無効なパラメータ

だからソケットに書くのはうまくいかないようです。

これは、パケットがサーバーを離れることができないことを意味します。

インターフェイスのリストは次のとおりです。

root@ip-10-1-2-250:/var/log# ip a

1:lo:mtu 65536 qdisc noqueue ステータス 不明なグループ デフォルト qlen 1 リンク/ループバック 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 範囲ホストlo valid_lft 常に Preferred_lft 常に inet6::1/128 範囲ホスト valid_lft 常に Preferred_lft 常に 2: eth0: mtu 9001 qdisc pfifo_fast 状態 UP グループ デフォルト qlen 1000 link/ether 12:09:c3:5b:9 ff: ff:ff:ff inet 10.1.2.250/24 brd 10.1.2.255 範囲グローバル eth0 valid_lft 常に Preferred_lft 常に inet6 fe80::1009:c3ff:fe5b:9c78/64 範囲リンク valid_lft 常に Preferred

明らかに、AWSパブリック(EIP)は直接処理されませんが、これはおそらくその理由です。

それでは、この状況を解決する方法は何ですか?

関連情報