我正在尝试在 debian-10 AWS 实例上设置 IPSec VPN 客户端。
不幸的是,我无法访问 VPN 服务器,因为它是由另一方配置的,所以我所知道的只是他们告诉我它是为我的配置的my-aws-public-ip
。
我正在尝试使用 Strongswan - Linux strongSwan U5.7.2/K4.19.0-16-cloud-amd64
这是我的配置文件:
config setup
uniqueids=no
charondebug="all"
conn vpn
type=tunnel
keyexchange=ikev2
aggressive=no
authby=secret
auto=add
ike=aes256-sha256-modp2048!
esp=aes256-sha256-modp2048!
ikelifetime=28800s
left=my-aws-internal-ip
leftid=my-aws-public-ip
leftsubnet=192.168.140.120/29
leftsourceip=192.168.140.121
right=another-party-peer-ip
rightsubnet=another-party-tunnel-network/mask
dpddelay=300s
dpdtimeout=120s
dpdaction=restart
rekey=yes
reauth=yes
keylife=3600s
closeaction=restart
encap=yes
forceencaps=yes
installpolicy=yes
当我 时sudo systemctl restart strongswan
,我获得了活动服务。但是,似乎我不是 VPN 的一部分,因为我无法 ping 任何another-party-tunnel-network
IP 地址。
在 AWS 上使用弹性 IP,我假设我位于 NAT 后面。这对于通过 IPSec 隧道传输包来说是个问题吗?
你觉得我的配置文件有什么问题吗?
最后但同样重要的一点是,当对方告诉我他们已经为 my-aws-public-ip 配置了 VPN 时,我收到了一个包含有关网络信息的文件 - 例如 IKE 版本、身份验证模式、预共享密钥等。我已使用以下语法在 /etc/ipsec.secrets 中插入了预共享密钥:: PSK "my-preshared-key"
此外,在包含网络信息的文件中,据说他们已经为网络配置了 VPN 隧道访问列表信息:192.168.140.120/29,以及 192.168.140.121 的防火墙安全规则,因此我在配置文件中添加了leftsubnet
和。leftsourceip
这不是我的 AWS 子网。这有问题吗?我已经添加了一个界面sudo ip address add 192.168.140.121/29 dev ens5
,并且我可以用看到它ip a
。
任何帮助将不胜感激。
谢谢