如何解决隧道问题IKEv2上的Strongswan配置和流量
im在此范围内是新的。我尝试在Google Cloud Platform上使用centos7(不同区域)在站点之间配置Strongswan。我已经遵循了此指南:
- https://blog.ruanbekker.com/blog/2018/02/11/setup-a-site-to-site-ipsec-vpn-with-strongswan-and-preshared-key-authentication/
- https://www.tecmint.com/setup-ipsec-vpn-with-strongswan-on-centos-rhel-8/
- https://medium.com/@georgeswizzalonge/how-to-setup-a-site-to-site-vpn-connection-with-strongswan-32d4ed034ae2
此ipsec.conf
来自网站A:
config setup
charondebug="all"
strictcrlpolicy=no
uniqueids = yes
conn sg-to-jkt
authby=secret
left=%defaultroute
leftid=34.xx.xx.xxx
leftsubnet=10.xxx.x.xx/24
right=34.xxx.xxx.xxx
rightsubnet=10.xxx.x.x/24
ike=aes256-sha2_256-modp1024!
esp=aes256-sha2_256!
keyingtries=0
ikelifetime=1h
lifetime=8h
dpddelay=30
dpdtimeout=120
dpdaction=restart
auto=start
site-A site-B : PSK "someencryptedkey"
此ipsec.conf
网站B:
config setup
charondebug="all"
strictcrlpolicy=no
uniqueids = yes
conn jkt-to-sg
authby=secret
left=%defaultroute
leftid=34.xxx.xxx.xxx
leftsubnet=10.xxx.x.x/24
right=34.xx.xx.xxx
rightsubnet=10.xxx.x.xx/24
ike=aes256-sha2_256-modp1024!
esp=aes256-sha2_256!
keyingtries=0
ikelifetime=1h
lifetime=8h
dpddelay=30
dpdtimeout=120
dpdaction=restart
auto=start
site-B site-A : PSK "someencryptedkey"
我的问题是:
-
为什么每次我用来重新启动Strongswan(strongswan重新启动)时,strongswan服务(systemctl状态Strongswan)都变为无效/无效? (注意:strongswan隧道仍在上行)
● strongswan.service - strongSwan IPsec IKEv1/IKEv2 daemon using ipsec.conf Loaded: loaded (/usr/lib/systemd/system/strongswan.service; enabled; vendor preset: disabled) Active: inactive (dead) since Sun 2020-10-11 16:37:06 UTC; 32min ago
-
ESP协议中没有流量,
tcpdump esp
不会显示任何内容,但Strongswan隧道已启动。我意识到状态给出的结果与示例不同。结果返回ESP in UDP SPIs
而不是ESP SPIs
。有什么不同吗?
感谢您的帮助和建议
解决方法
您可以检查Systemd服务文件strongswan.service
并更改Type=
选项。
默认情况下,您应该具有Type=simple
,并且它适用于许多Systemd服务文件,但是当ExecStart
中的脚本启动另一个进程并完成时,它不起作用,请考虑更改以显式指定Type [服务]部分中的= forking,以便Systemd知道查看生成的进程,而不是初始进程。
来自man systemd.service:
如果设置为派生,则预期使用ExecStart =配置的进程将在其启动过程中调用fork()。启动完成并设置所有通信通道后,预计父进程将退出。子级继续作为主守护进程运行。这是传统UNIX守护程序的行为。如果使用此设置,建议也使用PIDFile =选项,以便systemd可以识别守护程序的主进程。父进程退出后,systemd将继续启动后续单元。
此外,我发现another thread in StrackOverflow也存在类似的问题。
但是请参阅man systemd.service
以获取适当的类型。
对于第二个问题,您可能要检查防火墙,我在此link
中发现了另一种类似的情况版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。