Strongswan VPN 与 Checkpoint 连接时卡住

tag-icon tag-icon linux firewall strongswan checkpoint
Strongswan VPN 与 Checkpoint 连接时卡住

我是 strongswan 和 linux 的新手,因此我尝试在 linux 防火墙集群和检查点网关之间建立 vpn 连接。

这是我的节点列表和资源:

root@Deb-FW-C1:/etc# crm status 集群摘要:

  • 堆栈:corosync
  • 当前 DC:fw-c2(版本 2.0.5-ba59be7122)-具有仲裁的分区
  • 最后更新时间:2023 年 4 月 1 日星期六 12:04:28
  • 最后更改:2023 年 4 月 1 日星期六 12:04:25,由 root 通过 iantwy 上的 cibadmin 更改
  • 配置了 2 个节点
  • 配置了 3 个资源实例

节点列表:

  • 在线: [ fw-c2 fw-c1 ]

完整资源列表:

  • ping 网关 (ocf::pacemaker:ping): 已启动 fw-c2
  • 资源组:FW-CLUSTER:
  • 防火墙(lsb:防火墙):已启动 fw-c1
  • CL-VIP(ocf::heartbeat:IPaddr2):已启动 fw-c2

这是我的 /etc/ipsec.conf

conn linux-to-cp

类型=隧道
leftupdown=/usr/local/sbin/ipsec.sh
mark=300
left=xxx190
leftid=xxx190
leftsubnet=192.168.3.0/24
right=xxx201
rightsubnet=192.168.4.0/24
authby=secret
 keyexchange=ikev2
 ike=aes128-sha1-modp1024
 ikelifetime=28800s
 esp=aes128-sha1-modp1024
 lifetime=3600s
 dpddelay=10s
 dpdtimeout=30s
 dpdaction=restart
auto=start

ipsec.secrets

#源目标
xxx190 xxx201:PSK“firewall-linux-pass”

启动ipsec时:

root@Deb-FW-C1:/etc# ipsec restart
停止 strongSwan IPsec...
启动 strongSwan 5.9.1 IPsec [starter]...
root@Deb-FW-C1:/etc# ipsec status
安全关联 (0 个启动,1 个正在连接):
linux-to-cp[1]: 正在连接,xxx190[%any]...xxx201[%any]

Systemctl 状态 strongswan-starter

root@Deb-FW-C1:/etc# systemctl status strongswan-starter
● strongswan-starter.service - 使用 ipsec.conf 的 strongSwan IPsec IKEv1/IKEv2 守护程序
已加载:已加载(/lib/systemd/system/strongswan-starter.service;已启用;供应商 >preset:已启用)
活动:自 2023-04-01 星期六 11:47:46 +04;58 分钟前起处于非活动状态(已死亡)
进程:252511 ExecStart=/usr/sbin/ipsec start --nofork(code=exited,>status=0/SUCCESS)
主 PID:252511(code=exited,status=0/SUCCESS)
CPU:12ms

4 月 1 日 11:47:46 Deb-FW-C1 systemd[1]: 使用 ipsec.conf 启动 strongSwan IPsec IKEv1/IKEv2 守护进程。
4 月 1 日 11:47:46 Deb-FW-C1 ipsec[252511]: 正在启动 strongSwan 5.9.1 IPsec [starter]...
4 月 1 日 11:47:46 Deb-FW-C1 ipsec_starter[252511]: 正在启动 strongSwan 5.9.1 IPsec [starter]...
4 月 1 日 11:47:46 Deb-FW-C1 ipsec_starter[252511]: charon 已在运行(/var/run/charon.pid 存在)-- 跳过守护进程 s>
4 月 1 日 11:47:46 Deb-FW-C1 ipsec[252511]: charon 已在运行(/var/run/charon.pid 存在)-- 跳过守护进程启动
4 月 1 日 11:47:46 Deb-FW-C1 ipsec[252511]: 启动程序已在运行(/var/run/starter.charon.pid 存在)——没有完成 fork
4 月 1 日 11:47:46 Deb-FW-C1 ipsec_starter[252511]: 启动程序已在运行(/var/run/starter.charon.pid 存在)——没有完成 fork >
4 月 1 日 11:47:46 Deb-FW-C1 systemd[1]: strongswan-starter.service:成功。

我在 GUI 上配置了检查点,它们都具有相同的加密配置,我为 Linux 防火墙创建了一个可互操作的对象,并添加了 vpn 规则以允许流量通过。我还为 IPSEC NAT 添加了 IKE UDP 端口 500 和 4500。共享密钥也相同。但问题可能出在 Linux 防火墙的配置文件中。

有什么帮助可以解释为什么它在连接时卡住了吗?

相关内容