다중 연결을 위해 Libreswan IPsec을 구성하는 방법은 무엇입니까?

tag-icon tag-icon vpn ipsec xauth libreswan
다중 연결을 위해 Libreswan IPsec을 구성하는 방법은 무엇입니까?

내 Linux 시스템에서 Xauth IPsec을 설정하려고 합니다. 이 IPsec 서버는 NAT 뒤에 있습니다.

내 목표는 두 유형의 사용자 모두 암호와 PSK를 사용하여 인증할 수 있도록 하는 것입니다.

첫 번째 그룹(일반 사용자)은 서버 LAN의 특정 IP에만 액세스할 수 있어야 하고, 두 번째 그룹(고급 사용자)은 전체 LAN에 액세스할 수 있어야 합니다(단, 두 그룹 모두 기본 게이트웨이에 액세스할 수 있어야 함). 구성의 이 부분은 나에게 다소 명확해 보이지만(방화벽 구성에 관한 것임) 단지 개요를 제공하기 위한 것입니다.

따라서 각 그룹에 특정 서브넷/주소 풀을 할당하고 싶습니다.

╔══════════╦══════════════════════════════╦═════════════════════════════╦════════════════╗
║  Class   ║ Virtual IP Range             ║     Allowed LAN Access      ║  Common Names  ║
╠══════════╬══════════════════════════════╬═════════════════════════════╬════════════════╣
║ Regular  ║ 192.168.43.10-192.168.43.250 ║ Custom service at 10.66.4.4 ║ Custom service ║
║ Advanced ║ 192.168.42.10-192.168.42.250 ║ Entire 10.66.4.0/24 subnet  ║ Advanced       ║
╚══════════╩══════════════════════════════╩═════════════════════════════╩════════════════╝

10.66.4.0/24가 내 LAN이라고 가정해 보겠습니다.

IPsec을 구성하는 방법은 다음과 같습니다.

version 2.0

config setup
  virtual-private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v4:!192.168.42.0/24,%v4:!192.168.43.0/24
  protostack=netkey
  interfaces=%defaultroute
  uniqueids=no

conn shared
  left=%defaultroute
  leftid=raspberrypi
  right=%any
  encapsulation=yes
  authby=secret
  pfs=no
  rekey=no
  keyingtries=5
  dpddelay=30
  dpdtimeout=120
  dpdaction=clear
  ikev2=never
  ike=aes256-sha512;modp8192,aes256-sha512;modp4096,aes256-sha512;modp2048
  phase2alg=aes_gcm-null,aes256-sha512,aes256-sha2
  sha2-truncbug=no

conn xauth-psk-1
  auto=add
  leftsubnet= 10.66.4.0/24
  rightaddresspool=192.168.43.10-192.168.43.250
  modecfgdns="10.66.4.1"
  leftxauthserver=yes
  rightxauthclient=yes
  leftmodecfgserver=yes
  rightmodecfgclient=yes
  modecfgpull=yes
  xauthby=file
  ike-frag=yes
  cisco-unity=yes
  also=shared

conn xauth-psk-2
  auto=add
  leftsubnet= 10.66.4.0/24
  rightaddresspool=192.168.42.10-192.168.42.250
  modecfgdns="10.66.4.1"
  leftxauthserver=yes
  rightxauthclient=yes
  leftmodecfgserver=yes
  rightmodecfgclient=yes
  modecfgpull=yes
  xauthby=file
  ike-frag=yes
  cisco-unity=yes
  also=shared

파일에 두 명의 사용자를 추가했습니다 /etc/ipsec.d/passwd.

user1:$1$gGFrE5Sz$BqPBohuaLhHoVr7cQjd/C0:xauth-psk-1
user2:$1$gGFrE5Sz$BqPBohuaLhHoVr7cQjd/C0:xauth-psk-2

그것은 잘 인증됩니다 user1. 그러나 다음 계정으로 로그인하려고 하면 user2인증이 실패합니다.

"xauth-psk-1"[6] 10.66.4.23 #9: XAUTH: User <unknown>: Authentication Failed (retry 1)

분명히 잘못된 연결 이름을 선택했습니다.

올바르게 설정하려면 어떻게 해야 합니까?

관련 정보