StrongSwan lan에서 lan/PKI RSA 자체 CA - 터널(업스트림 0개, 연결 1개), RSA 터널은 자체 CA 없이도 잘 작동합니다.

StrongSwan lan에서 lan/PKI RSA 자체 CA - 터널(업스트림 0개, 연결 1개), RSA 터널은 자체 CA 없이도 잘 작동합니다.

자체 서명된 CA 인증서를 사용하여 x.509 기반 터널을 생성하려고 합니다.

AWS에서 솔루션을 만들고 있는데, VPN 게이트웨이는 Debian Stretch 머신 버전입니다. Linux ip-10-0-0-208 4.9.0-8-amd64 #1 SMP Debian 4.9.110-3+deb9u3 (2018-08- 19 ) x86_64 GNU/Linux, StrongSwan 버전은 Linux StrongSwan U5.5.1/K4.9.0-8-amd64입니다.

먼저 동쪽 게이트웨이 전용 RSA 터널을 만들었습니다.

openssl genrsa -out us-east-a1.key 4096
openssl rsa -in us-east-a1.key -pubout > us-east-a1.pub

또한 Simon을 위해 동일한 유형의 키를 만들었습니다. 그런 다음 공개 키를 두 게이트웨이 모두에 복사하고 ipsec.conf 및 ipsec.secrets 구성 파일을 만들었습니다.

이 구성은 문제 없이 실행됩니다.

이제 CA 인증서를 사용하는 구성을 구성하려고 하는데 구성이 연결을 설정하지 않습니다.

나는 다음을 사용하여 인증서와 ike를 삭제했습니다.

ipsec purgecerts
ipsec purgeike

그래서 IPsec 캐시에는 아무것도 남지 않았고 Ipsec과 StrongSwan을 중지했습니다.

그 다음에

West 및 East 게이트웨이에 대해 CA 마스터 키, 루트 CA 인증서, RSA 인증서(개인/공용)를 만들었습니다.

그 후 두 게이트웨이 모두에 새로운 ipsec.conf 및 ipsec.secrets를 만들었습니다.

터널 양쪽에서 시작한 후

systemctl restart networking
systemctl start ipsec
systemclt start strongswan

나는 명령을 실행한다

ipsec statusall

이것이 출력이다

Status of IKE charon daemon (strongSwan 5.5.1, Linux 4.9.0-9-amd64, x86_64):<br>

가동 시간: 2019년 8월 11일 13:41:48 이후 45분
malloc: sbrk 1486848, mmap 0, 415232 사용, 1071616 유휴
작업자 스레드: 유휴 16개 중 11개, 5/0/0 /0 작업, 작업 대기열: 0/0 /0/0, 일정: 1
로드된 플러그인: charon aesni aes rc2 sha2 sha1 md5 무작위 nonce x509 취소 제약 pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips -prf gmp 에이전트 xcbc hmac gcm attr kernel-netlink 구문 분석 소켓 기본 connmark 스트로크 업다운
수신 IP 주소:
10.1.2.250
연결:
tunnel-east: 54.88.xxx.yyy...13.57.zz.dd IKEv2, dpddelay=30stunnel
-east: 로컬: [C=DE, O=Orgname, CN= east- ssw-gateway] 공개 키 인증 사용
tunnel-east: 원격: [C=DE, O=Orgname, CN=west-ssw-gateway] 공개 키 인증 사용
tunnel-east: child: 10.1.0.0/16 === 10.0 .0.0/16 터널, dpdaction=
보안 연결 다시 시작(0 위로, 1 연결됨):
터널-동쪽[1]:연결됨, 54.88.xxx.yyy[ %any]...13.57.zz.dd[%any]
터널 East[1]: IKEv2 SPI: a157af3c58009cd8_i* 0000000000000000_r
터널 East[1]: 활성 작업: IKE_VENDOR IKE_INIT IKE_NATD IKE_CERT_PRE IKE_AUTH IKE_CERT_POST IKE_CONFIG CHILD_C REATE IKE_MOBIKE

내 ipsec.conf "west"는 다음과 같습니다.

구성 설정
chaondebug="all"
Uniqueids=yes
strictcrlpolicy=no

conn%default

conntunnel-west
left=13.57.zz.dd
leftsubnet=10.0.0.0/16
right=54.88.xxx.yyy
rightsubnet=10.1.0.0/16
ike=aes256 -sha2_256-modp1024!
esp=aes256-sha2_256!
keyingtries=0
ikelifetime=1시간
수명=8시간
dpddelay=30
dpdtimeout=120
dpdaction=다시 시작
authby=pubkey
자동=시작
keyexchange=ikev2
유형=터널
leftrsasigkey=vpn-west-public-certificate.pem
rightrsasigkey=vpn-east-public -certificate .pem
leftid="C=DE, O=조직 이름, CN=west-ssw-gateway"
rightid="C=DE, O=조직 이름, CN=east-ssw-gateway"

include/var/lib/strongswan/ipsec. conf.inc 의 ipsec.secrets "west"

는 다음과 같습니다.

include /var/lib/strongswan/ipsec.secrets.inc

: RSA vpn-west-private-key.pem

내 ipsec.conf "east"는 다음과 같습니다.

config setup<br>
    charondebug="all"<br>
    uniqueids=yes<br>
    strictcrlpolicy=no<br>


conn %default

conn 터널 동쪽
left=54.88.xxx.yyy
leftsubnet=10.1.0.0/16
right=13.57.zz.dd
rightsubnet=10.0.0.0/16
ike=aes256-sha2_256-modp1024!
esp=aes256-sha2_256!
keyingtries=0
ikelifetime=1시간
수명=8시간
dpddelay=30
dpdtimeout=120
dpdaction=다시 시작
authby=pubkey
자동=시작
keyexchange=ikev2
유형=터널
leftrsasigkey=vpn-east-public-certificate.pem
rightrsasigkey=vpn-west-public -certificate .pem
leftid="C=DE, O=조직 이름, CN=east-ssw-gateway"
rightid="C=DE, O=조직 이름, CN=west-ssw-gateway"

include/var/lib/strongswan/ipsec. 회의 회사

ipsec.secrets "east"는 다음과 같습니다.

include /var/lib/strongswan/ipsec.secrets.inc <br>

: RSA vpn-east-private-key.pem

양쪽에서 나는 다음을 얻습니다.

Security Associations (0 up, 1 connecting):<br>

내가 뭘 잘못하고 있는지 아시나요?

AB가 제안한 대로 leftca=를 추가했는데 아무것도 변경되지 않았습니다.

Charon.log입니다.

2019-08-11T17:34:27+0000 04[NET] 소켓 쓰기 오류: 잘못된 매개변수 2019-08-11T17:34:27+0000 01[JOB] 3초 999ms 후 다음 이벤트, 2019 -08-11T17
대기 중
: 34:27+0000 10[MGR] IKE_SA 터널 동쪽 체크인[1]
2019-08-11T17:34:27+0000 10[MGR] IKE_SA 체크인 성공
2019-08-11T17:34:31 +0000 01[ Job] 이벤트 가져오기, 실행 대기 중인 작업 대기열
2019-08-11T17:34:31+0000 01[JOB] 999ms 내 다음 이벤트, 대기
2019-08-11T17:34:31+0000 12[MGR ] SPI를 사용하여 IKEv2 SA 3dbe135f4a4d8d96_i 0000000000000000_r
2019-08-11T17:34:31+0000 12[MGR] IKE_SAtunnel-east[1] 성공적으로 체크아웃됨
2019-08-11T17:34:31+0000 12[ IKE] 메시지와 함께 요청 1개 재전송 ID 0
2019 -08-11T17:34:31+0000 12[NET] 데이터 패킷 전송: 54.88.xxx.yyy[500]에서 13.57.zz.dd[500](336바이트)
2019-08-11T17:34 :31+0000 12[MGR] IKE_SA 터널 동쪽 체크인[1]
2019-08-11T17:34:31+0000 12[MGR] IKE_SA 체크인 성공
2019-08-11T17:34: 31+0000 04[NET] 패킷 보내기: 54.88.xxx.yyy[500]에서 13.57.zz.dd[500]
2019-08-11T17:34:31+0000 04[NET] 소켓에 쓸 때 오류: 잘못된 매개 변수
2019-08-11T17: 34:31+0000 01[JOB] 998ms 내의 다음 이벤트가
2019-08-11T17:34:32+0000 01[JOB] 이벤트를 획득했으며 실행을 위해 대기 중입니다. 작업
2019-08-11T17: 34:32+0000 01[JOB] 다음 이벤트 6초 200ms, 대기 중
2019-08-11T17:34:32+0000 13[MGR] SPI를 사용하는 IKEv2 SA 확인
3dbe135f4a4d8d96_i 0000000000000000_
r 2019-08- 11T1 7:34:32+0000 13[MGR] IKE_SA Tunnel East[1] 성공적으로 체크아웃됨
2019-08-11T17:34:32+0000 13[IKE] 메시지 ID가
02019-08- 11T17:34:32+0000인 2개 요청 재전송 13[NET] 보내기 데이터 패킷: 54.88.xxx.yyy[500]에서 13.57.zz.dd[500](336바이트)
2019-08-11T17:34:32+0000 13 [MGR] 체크인됨 IKE_SA Tunnel East [1]
2019- 08-11T17:34:32+0000 13[MGR] IKE_SA에 성공적으로 체크인됨
2019-08-11T17:34:32+0000 04[NET] 패킷 보내기: 54.88.xxx.yyy[500]에서 13.57.zz.dd [500]
2019-08-11T17:34:32+0000 04[NET] 소켓 쓰기 오류: 잘못된 매개변수

그래서 소켓에 쓰는 것이 작동하지 않는 것 같습니다.

이는 패킷이 서버를 떠날 수 없음을 의미할 수 있습니다!

인터페이스 목록은 다음과 같습니다.

root@ip-10-1-2-250:/var/log# ip a

1:lo:mtu 65536 qdisc noqueue 상태 알 수 없는 그룹 기본 qlen 1 링크/루프백 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 범위 호스트 lo valid_lft 항상 Preferred_lft 항상 inet6::1/128 범위 호스트 valid_lft 항상 Preferred_lft 항상 2: eth0: mtu 9001 qdisc pfifo_fast 상태 UP 그룹 기본값 qlen 1000 link/ether 12:09:c3:5b:9c:78 brd ff :ff:ff: ff:ff:ff inet 10.1.2.250/24 brd 10.1.2.255 범위 전역 eth0 valid_lft 항상 Preferred_lft 항상 inet6 fe80::1009:c3ff:fe5b:9c78/64 범위 링크 valid_lft 항상 Preferred_lft 항상

분명히 AWS 퍼블릭(EIP)은 직접적으로 처리되지 않는데, 이것이 아마도 그 이유일 것입니다.

그렇다면 이 상황을 해결하는 방법은 무엇입니까?

관련 정보