Стійкий зв'язок Strongswan

0

Я хочу встановити стійкий зв'язок між клієнтом Linux strongswan та маршрутизатором cisco, а це означає, що тунель ipsec буде працювати назавжди?

Це можливо? У моїй нинішній конфігурації тунель знизиться після досягнення ikelifetime, тоді мені потрібно вручну піднести його.

Ось моя конфігурація strongswan:

config setup
    uniqueids=never

conn %default
    keyexchange=ikev1
    type=tunnel
    left=%any
    auto=add
    dpdaction=clear
    margintime=0s
    rekeyfuzz=20%
conn cisco-ezvpn
    right=10.0.1.1
    left=10.0.1.2
    leftid=19
    leftsourceip=%config
    right=10.0.1.1
    rightsubnet=0.0.0.0/0
    xauth_identity=test
    leftauth2=xauth
    xauth=client
    aggressive=yes
    leftauth=psk
    rightauth=psk
    ikelifetime=300s
    lifetime=300s
    ike=aes256-sha256-ecp256
    esp=aes256-sha256

Далі йде моя конфігурація IOS (частина ipsec):

crypto isakmp policy 1
 encr aes 256
 hash sha256
 authentication pre-share
 group 19
 lifetime 300
!
crypto isakmp key test address 10.0.1.2       
crypto isakmp keepalive 10
!
crypto isakmp client configuration group RA
 key test
 domain test.com
 pool POOL
 acl split
 save-password
 netmask 255.255.255.0
!
crypto isakmp client configuration group 19
 key test123
 domain test.com
 pool POOL
 acl split
 save-password
 netmask 255.255.255.0
crypto isakmp profile test
   match identity group RA
   match identity group 19
   client authentication list AUTH
   isakmp authorization list NET
   client configuration address respond
   client configuration group 19
   virtual-template 1
!
!
crypto ipsec transform-set test esp-aes 256 esp-sha256-hmac 
 mode tunnel
!
crypto ipsec profile ipsecprof
 set security-association lifetime kilobytes disable
 set transform-set test 
!         
!         
crypto map cmap 10 ipsec-isakmp 
 set peer 10.0.1.2
 set transform-set test 
 match address split
!
!
interface Virtual-Template1 type tunnel
 ip unnumbered Vlan10
 ip nat inside
 ip virtual-reassembly in
 tunnel source Vlan10
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ipsecprof
!
interface Vlan10
 ip address 10.0.1.1 255.255.255.248
 ip helper-address 10.0.1.1
 ip nat inside
 ip virtual-reassembly in
linux  networking  vpn  strongswan 
код фермер
джерело
Чи можете ви просто видалити lifetimeпараметр? Зауважте, що у вас обоє ikelifetimeі lifetimeвстановлено однакове значення, тому може бути важко дізнатися, що вбиває вас. У мене є щось подібне, встановлене для маршрутизатора, який не є Cisco, і у мене немає цієї проблеми. Я впевнений, що ти можеш змусити його якось працювати.
Цегла
Я вилучив термін експлуатації та ikelifetime, максимум IKE_SA був автоматично налаштований на 10800, але з'єднання все-таки вийшло з ладу через 5 хвилин, тому що cisco rounter встановив термін експлуатації на 5 хвилин.
фермер коду
Тож здається, що ви вирішили цю проблему на стороні StrongSwan і тепер у вас є проблема у вашій конфігурації Cisco. Мій досвід полягав у тому, що мені довелося кілька разів переходити вперед і назад між конфігурацією на моєму маршрутизаторі та конфігурацією в StrongSwan, щоб налаштування були сумісними. Якщо ви хочете відредагувати питання та показати конфігурацію від Cisco, можливо, хтось може надати додаткову допомогу.
Цегла
Я додав IOS частини
код фермер
1
@codefarmer Ви коли-небудь вирішували це? У мене є подібна проблема, коли підключення мого клієнта падає кожні 5 хвилин (Ubuntu), а колеги по Mac OS назавжди залишаються щасливими.
Вінченцо Пій
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.