مشکلی در رابطه با کانفیگ فایل V.P.N Site to sito
کانفیگ فایل مربوط به v.p.n site to site تو centos میخام بسازم. اما مشکلی تو نحوه نوشتن قسمت ip و subnet اش دارم :
این کانفیگ فایل ipsec ــه.
## general configuration parameters ## config setup plutodebug=all plutostderrlog=/var/log/pluto.log protostack=netkey nat_traversal=yes virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.25.0.0/12 ## disable opportunistic encryption in Red Hat ## oe=off ## disable opportunistic encryption in Debian ## ## Note: this is a separate declaration statement ## include /etc/ipsec.d/examples/no_oe.conf ## connection definition in Red Hat ## conn demo-connection-redhat authby=secret auto=start ike=3des-md5 ## phase 1 ## keyexchange=ike ## phase 2 ## phase2=esp phase2alg=3des-md5 compress=no pfs=yes type=tunnel left=?????? leftsourceip=?????? leftsubnet=/netmask ## for direct routing ## leftsubnet=?????? leftnexthop=%defaultroute right=??????? rightsubnet=?????? ## connection definition in Debian ## conn demo-connection-debian authby=secret auto=start ## phase 1 ## keyexchange=ike ## phase 2 ## esp=3des-md5 pfs=yes type=tunnel left=????? leftsourceip=?????? leftsubnet=????? ## for direct routing ## ?????=leftsubnet leftnexthop=%defaultroute right=???? rightsubnet=??????
نمیدونم چطوری باید طرز صحیح نوشتن IP و subnet رو بنویسم که سرویسش start بشه. من هر چی IP و subnet لوکال سرور چپ و راست!!! رو براش مینویسم سرویس ipsec.service اصلا استارت نمیشه.
سپاس گذار میشم قسمت هاییکه علامت سوال گذاشتم رو برام با مثال بنویسید که نحوه درست نوشتنش چطوریه.
4 پاسخ
سلام ،
منظور از leftsubnet و rightsubnet رنج آی پی شبکه های داخلی است
در قسمت left و right هم باید آی پی های Public سرور هارو قرار بدید...
کسی از دوستان لینوکسی میتونه راهنماییم کنه؟
LinuxAdm عزیز ممنون میشم تو همین کانفیگ بجای علامت سوال ip ها و سابنت ها رو جایگیزین کنی که بهتر متوجه بشم.
خیلی ممنون میشم.
هر کدوم از سرور ها یک شبکه داخلی داره ، سرور سمت چپ اگه آدرس شبکه داخلیش 10.1.0.0/16 باشه
سرور سمت راست هم 11.1.0.0/16 و هر کدوم از سرور ها هم یک IP Public دارند که همدیگر رو بتونن ببینند !
آی پی های public باید در قسمت left و right نوشته شوند
و شبکه های داخلی در قست leftsubnet و rightsubnet ...
به عنوان مثال ؛ در سرور A :
[root@strongswan1 ~]# vim /etc/strongswan/ipsec.conf
config setup
uniqueids=yes
conn standard_ikev2
keyexchange=ikev2
ike=aes256-sha256-modp1024,3des-sha1-modp1024,aes256-sha1-modp1024!
esp=aes256-sha256,3des-sha1,aes256-sha1!
rekey=no
left=192.168.1.10
leftsubnet=10.1.0.0/16
right=192.168.1.11
rightsubnet=11.1.0.0/16
keyingtries=0
ikelifetime=1h
iketime=8h
dpdaction=clear
authby=secret
type=tunnel
auto=start
در سرور B :
[root@strongswan2 ~]# vim /etc/strongswan/ipsec.conf
config setup
uniqueids=yes
conn standard_ikev2
keyexchange=ikev2
ike=aes256-sha256-modp1024,3des-sha1-modp1024,aes256-sha1-modp1024!
esp=aes256-sha256,3des-sha1,aes256-sha1!
rekey=no
left=192.168.1.11
leftsubnet=11.1.0.0/16
right=192.168.1.10
rightsubnet=10.1.0.0/16
keyingtries=0
ikelifetime=1h
iketime=8h
dpdaction=clear
authby=secret
type=tunnel
auto=start