我确实想从 Linux 连接到 Fortigate IPsec VPN,但“它不起作用”(见下文)。
我首先尝试了 Shrewsoft,但是它无法编译,当我正在寻找解决方法时,我听说 Shrewsoft VPN 已经不行了。
我已经转向 vpnc,但我也没有太多运气。下面是我的删节版配置文件,以及我收到的错误。ike-scan 认为我的网关没有握手,这让我很困扰。此外,我的 IT 人员说 Fortigate 端没有失败的登录尝试。
我的 vpnc 配置如下:
IPSec gateway redacted.example.com
IPSec ID redacted
IPSec secret redacted
#IKE Authmode hybrid
IKE Authmode psk
Xauth username redacted
#Xauth password redacted
我收到的错误是:
$ vpnc-connect
Enter password for [email protected]:
vpnc-connect: no response from target
如果我 strace vpnc,我可以看到它在尝试轮询来自 host.example.com 上的 udp/500 的答复时超时。
如果我尝试 ike-scan host.example.com,我会看到类似的内容:
Starting ike-scan 1.9.4 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
Ending ike-scan 1.9.4: 1 hosts scanned in 3.311 seconds (0.30 hosts/sec). 0 returned handshake; 0 returned notify
就像我使用了错误的服务器或者其他什么东西,但是主机名确实可以解析,而且我可以在输出中看到 UDP/500 端口打开|过滤:
nmap -P0 -sU -p 500 host.example.com
我的 PSK 中有一些特殊字符,包括注释字符,但我认为这对 vpnc 来说并不重要。
我在 Debian 10.10 上,并且正在使用 vpnc 0.5.3r550-3
Fortigate 作为服务器是必需的,但我们在客户端方面有很大的灵活性。只要它是 Debian Linux 即可。
有什么建议么?
谢谢!
答案1
我仍然没有获得完整的身份验证,但我已经清除了一个障碍并进入下一个障碍。
通过添加以下内容可以清除该问题的障碍:
IKE DH Group dh5
...到:
/etc/vpnc/default.conf
答案2
对我来说,vpnc 与 ipsec 一起工作,我的配置文件是:
IPSec gateway <yourgatewayip>
IPSec ID <youripsecid>
IPSec secret <youripsecsecret>
Xauth username <yourusername>
Xauth password <yourpass>
IKE DH Group dh5
Perfect Forward Secrecy dh5
Interface name myvpn-ike