带有 Cisco ASA/3000 的 OpennSwan Ipsec 客户端

带有 Cisco ASA/3000 的 OpennSwan Ipsec 客户端

我尝试了一周,但未能通过 CISO ASA 设置 IPsec ESP 身份验证。这是我尝试实现的拓扑 这里

我想从 Ubuntu IPsec 客户端机器本身连接到 CISCO 背面的网络。Ubuntu 客户端只有一个 eth0 接口。

在 CISCO 上,服务器和对等 IP 都设置为 Ubuntu 客户端公共 IP。

这是我的配置:

ipsec.conf
============================
config setup
nat_traversal=yes
   virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0 /12,%v4:196.201.214.0/24
   oe=off
   force_keepalive=yes
   plutostderrlog=/var/log/openswan.log
   protostack=netkey
   keep_alive=60
include /etc/ipsec.d/*.conf
============================

ipsec.conf
===========================
conn scom   
    authby=secret
    auto=start
    keyexchange=ike    
    ikelifetime=28800s
    ike=3des-sha1;modp1024
    phase2alg=aes128-sha1;modp1024
    pfs=no
    type=tunnel
    aggrmode=no
    compress=no
    forceencaps=yes
    left=10.146.74.49 (INternal IP Ubuntu openswan client)
    leftid=10.146.74.49
    leftsubnet=40.127.178.200/32 (External IP ubuntu openswan client)
    leftsourceip=40.127.178.200
    leftnexthop=%defaultroute
    right=196.201.212.240 (Ciso ASA public IP)
    rightsubnets={196.201.214.xx/32,196.201.214.xpx/32,196.201.214.xax/32,196.201.214.xxx/32,196.201.214.xjx/32,196.201.214.xxy/32,196.201.214.sss/32}

使用此配置,隧道将启动。但实际上左侧 IP 应该是 Ubuntu openswan 客户端的公共 IP,对吗?如果我将公共 IP 作为左侧参数,隧道将失败。

如果我提到的拓扑必须起作用,那么我缺少什么?

相关内容