我尝试了一周,但未能通过 CISO ASA 设置 IPsec ESP 身份验证。这是我尝试实现的拓扑 。
我想从 Ubuntu IPsec 客户端机器本身连接到 CISCO 背面的网络。Ubuntu 客户端只有一个 eth0 接口。
在 CISCO 上,服务器和对等 IP 都设置为 Ubuntu 客户端公共 IP。
这是我的配置:
ipsec.conf
============================
config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0 /12,%v4:196.201.214.0/24
oe=off
force_keepalive=yes
plutostderrlog=/var/log/openswan.log
protostack=netkey
keep_alive=60
include /etc/ipsec.d/*.conf
============================
ipsec.conf
===========================
conn scom
authby=secret
auto=start
keyexchange=ike
ikelifetime=28800s
ike=3des-sha1;modp1024
phase2alg=aes128-sha1;modp1024
pfs=no
type=tunnel
aggrmode=no
compress=no
forceencaps=yes
left=10.146.74.49 (INternal IP Ubuntu openswan client)
leftid=10.146.74.49
leftsubnet=40.127.178.200/32 (External IP ubuntu openswan client)
leftsourceip=40.127.178.200
leftnexthop=%defaultroute
right=196.201.212.240 (Ciso ASA public IP)
rightsubnets={196.201.214.xx/32,196.201.214.xpx/32,196.201.214.xax/32,196.201.214.xxx/32,196.201.214.xjx/32,196.201.214.xxy/32,196.201.214.sss/32}
使用此配置,隧道将启动。但实际上左侧 IP 应该是 Ubuntu openswan 客户端的公共 IP,对吗?如果我将公共 IP 作为左侧参数,隧道将失败。
如果我提到的拓扑必须起作用,那么我缺少什么?