隧道问题IKEv2上的Strongswan配置和流量

如何解决隧道问题IKEv2上的Strongswan配置和流量

im在此范围内是新的。我尝试在Google Cloud Platform上使用centos7（不同区域）在站点之间配置Strongswan。我已经遵循了此指南：

此ipsec.conf来自网站A：

config setup
     charondebug="all"
     strictcrlpolicy=no
     uniqueids = yes

conn sg-to-jkt
    authby=secret
    left=%defaultroute
    leftid=34.xx.xx.xxx
    leftsubnet=10.xxx.x.xx/24
    right=34.xxx.xxx.xxx
    rightsubnet=10.xxx.x.x/24
    ike=aes256-sha2_256-modp1024!
    esp=aes256-sha2_256!
    keyingtries=0
    ikelifetime=1h
    lifetime=8h
    dpddelay=30
    dpdtimeout=120
    dpdaction=restart
    auto=start

ipsec.secrets文件站点A：

site-A site-B : PSK "someencryptedkey"

此ipsec.conf网站B：

config setup
         charondebug="all"
         strictcrlpolicy=no
         uniqueids = yes

conn jkt-to-sg
        authby=secret
        left=%defaultroute
        leftid=34.xxx.xxx.xxx
        leftsubnet=10.xxx.x.x/24
        right=34.xx.xx.xxx
        rightsubnet=10.xxx.x.xx/24
        ike=aes256-sha2_256-modp1024!
        esp=aes256-sha2_256!
        keyingtries=0
        ikelifetime=1h
        lifetime=8h
        dpddelay=30
        dpdtimeout=120
        dpdaction=restart
        auto=start

ipsec.secret文件站点B：

site-B site-A : PSK "someencryptedkey"

我的问题是：

为什么每次我用来重新启动Strongswan（strongswan重新启动）时，strongswan服务（systemctl状态Strongswan）都变为无效/无效？（注意：strongswan隧道仍在上行）

 ● strongswan.service - strongSwan IPsec IKEv1/IKEv2 daemon using ipsec.conf
Loaded: loaded (/usr/lib/systemd/system/strongswan.service; enabled; vendor preset: disabled)
Active: inactive (dead) since Sun 2020-10-11 16:37:06 UTC; 32min ago

ESP协议中没有流量，tcpdump esp不会显示任何内容，但Strongswan隧道已启动。我意识到状态给出的结果与示例不同。结果返回ESP in UDP SPIs而不是ESP SPIs。有什么不同吗？

感谢您的帮助和建议

解决方法

您可以检查Systemd服务文件strongswan.service并更改Type=选项。

默认情况下，您应该具有Type=simple，并且它适用于许多Systemd服务文件，但是当ExecStart中的脚本启动另一个进程并完成时，它不起作用，请考虑更改以显式指定Type [服务]部分中的= forking，以便Systemd知道查看生成的进程，而不是初始进程。

来自man systemd.service：

如果设置为派生，则预期使用ExecStart =配置的进程将在其启动过程中调用fork（）。启动完成并设置所有通信通道后，预计父进程将退出。子级继续作为主守护进程运行。这是传统UNIX守护程序的行为。如果使用此设置，建议也使用PIDFile =选项，以便systemd可以识别守护程序的主进程。父进程退出后，systemd将继续启动后续单元。

此外，我发现another thread in StrackOverflow也存在类似的问题。

但是请参阅man systemd.service以获取适当的类型。

对于第二个问题，您可能要检查防火墙，我在此link

中发现了另一种类似的情况

隧道问题IKEv2上的Strongswan配置和流量

如何解决隧道问题IKEv2上的Strongswan配置和流量

解决方法

相关推荐