我是 strongswan 和 linux 的新手,因此我尝试在 linux 防火墙集群和检查点网关之间建立 vpn 连接。
这是我的节点列表和资源:
root@Deb-FW-C1:/etc# crm status 集群摘要:
- 堆栈:corosync
- 当前 DC:fw-c2(版本 2.0.5-ba59be7122)-具有仲裁的分区
- 最后更新时间:2023 年 4 月 1 日星期六 12:04:28
- 最后更改:2023 年 4 月 1 日星期六 12:04:25,由 root 通过 iantwy 上的 cibadmin 更改
- 配置了 2 个节点
- 配置了 3 个资源实例
节点列表:
- 在线: [ fw-c2 fw-c1 ]
完整资源列表:
- ping 网关 (ocf::pacemaker:ping): 已启动 fw-c2
- 资源组:FW-CLUSTER:
- 防火墙(lsb:防火墙):已启动 fw-c1
- CL-VIP(ocf::heartbeat:IPaddr2):已启动 fw-c2
这是我的 /etc/ipsec.conf
conn linux-to-cp
类型=隧道
leftupdown=/usr/local/sbin/ipsec.sh
mark=300
left=xxx190
leftid=xxx190
leftsubnet=192.168.3.0/24
right=xxx201
rightsubnet=192.168.4.0/24
authby=secret
keyexchange=ikev2
ike=aes128-sha1-modp1024
ikelifetime=28800s
esp=aes128-sha1-modp1024
lifetime=3600s
dpddelay=10s
dpdtimeout=30s
dpdaction=restart
auto=start
ipsec.secrets
#源目标
xxx190 xxx201:PSK“firewall-linux-pass”
启动ipsec时:
root@Deb-FW-C1:/etc# ipsec restart
停止 strongSwan IPsec...
启动 strongSwan 5.9.1 IPsec [starter]...
root@Deb-FW-C1:/etc# ipsec status
安全关联 (0 个启动,1 个正在连接):
linux-to-cp[1]: 正在连接,xxx190[%any]...xxx201[%any]
Systemctl 状态 strongswan-starter
root@Deb-FW-C1:/etc# systemctl status strongswan-starter
● strongswan-starter.service - 使用 ipsec.conf 的 strongSwan IPsec IKEv1/IKEv2 守护程序
已加载:已加载(/lib/systemd/system/strongswan-starter.service;已启用;供应商 >preset:已启用)
活动:自 2023-04-01 星期六 11:47:46 +04;58 分钟前起处于非活动状态(已死亡)
进程:252511 ExecStart=/usr/sbin/ipsec start --nofork(code=exited,>status=0/SUCCESS)
主 PID:252511(code=exited,status=0/SUCCESS)
CPU:12ms4 月 1 日 11:47:46 Deb-FW-C1 systemd[1]: 使用 ipsec.conf 启动 strongSwan IPsec IKEv1/IKEv2 守护进程。
4 月 1 日 11:47:46 Deb-FW-C1 ipsec[252511]: 正在启动 strongSwan 5.9.1 IPsec [starter]...
4 月 1 日 11:47:46 Deb-FW-C1 ipsec_starter[252511]: 正在启动 strongSwan 5.9.1 IPsec [starter]...
4 月 1 日 11:47:46 Deb-FW-C1 ipsec_starter[252511]: charon 已在运行(/var/run/charon.pid 存在)-- 跳过守护进程 s>
4 月 1 日 11:47:46 Deb-FW-C1 ipsec[252511]: charon 已在运行(/var/run/charon.pid 存在)-- 跳过守护进程启动
4 月 1 日 11:47:46 Deb-FW-C1 ipsec[252511]: 启动程序已在运行(/var/run/starter.charon.pid 存在)——没有完成 fork
4 月 1 日 11:47:46 Deb-FW-C1 ipsec_starter[252511]: 启动程序已在运行(/var/run/starter.charon.pid 存在)——没有完成 fork >
4 月 1 日 11:47:46 Deb-FW-C1 systemd[1]: strongswan-starter.service:成功。
我在 GUI 上配置了检查点,它们都具有相同的加密配置,我为 Linux 防火墙创建了一个可互操作的对象,并添加了 vpn 规则以允许流量通过。我还为 IPSEC NAT 添加了 IKE UDP 端口 500 和 4500。共享密钥也相同。但问题可能出在 Linux 防火墙的配置文件中。
有什么帮助可以解释为什么它在连接时卡住了吗?