Вопрос или проблема
Я новичок в этих VPN делах. Я использую Strongswan 5.8.2 с конфигурацией swan для установления моего SA и использую PSK. Я интегрируюсь с компанией, чтобы предоставить мне некоторые услуги, и они дали мне IP-адрес шлюзевого сервера, который доступен при пинге. У меня на стороне swanctl может загрузить соединение, и systemctl работает хорошо, но в журналах отображается “установление IKE_SA не удалось, пира нет ответа” и “ошибка записи в сокет: сеть недоступна” после того, как я инициирую соединение. Я использовал CentOS 8 для этого.
это моя конфигурация swanctl:
connections {
site-2-site {
version = 1
local_addrs = public-IP-site1
remote_addrs = public-ip-site2
local_port = 500
remote_port = 500
proposals = aes256-sha1-modp1536
keyingtries = 1
rekey_time = 86400s
local {
auth = psk
id = public-IP-site1
}
remote {
auth = psk
id = public-ip-site2
}
children {
site-2-site {
esp_proposals = aes128-sha1
local_ts = private-ip-site1
remote_ts = private-ip-site2
life_time = 3600s
mode = tunnel
}
}
}
}
secrets {
secret = ThisIsPSKkey
id-1a = public-ip-site1
id-1b = public-ip-site2
}
журналы, когда я инициирую соединение:
12[CFG] vici инициирует CHILD_SA 'stickearn-to-cimb'
13[IKE] инициирование основного режима IKE_SA stickearn-to-cimb[3] к public-ip-site2
13[ENC] генерация запроса ID_PROT 0 [ SA V V V V V ]
13[NET] отправка пакета: от public-ip-site1[500] к public-ip-site2[500] (184 байта)
04[NET] ошибка записи в сокет: сеть недоступна
13[IKE] отправка повторной передачи 1 сообщения запроса ID 0, seq 1
13[NET] отправка пакета: от public-ip-site1[500] к public-ip-site2[500] (184 байта)
04[NET] ошибка записи в сокет: сеть недоступна
11[IKE] отправка повторной передачи 2 сообщения запроса ID 0, seq 1
11[NET] отправка пакета: от public-ip-site1[500] к public-ip-site2[500] (184 байта)
04[NET] ошибка записи в сокет: сеть недоступна
08[IKE] отправка повторной передачи 3 сообщения запроса ID 0, seq 1
08[NET] отправка пакета: от public-ip-site1[500] к public-ip-site2[500] (184 байта)
04[NET] ошибка записи в сокет: сеть недоступна
13[IKE] отправка повторной передачи 4 сообщения запроса ID 0, seq 1
13[NET] отправка пакета: от public-ip-site1[500] к public-ip-site2[500] (184 байта)
04[NET] ошибка записи в сокет: сеть недоступна
10[IKE] отправка повторной передачи 5 сообщения запроса ID 0, seq 1
10[NET] отправка пакета: от public-ip-site1[500] к public-ip-site2[500] (184 байта)
04[NET] ошибка записи в сокет: сеть недоступна
07[IKE] сдача после 5 повторных передач
07[IKE] установление IKE_SA не удалось, пир не отвечает
это проблема с файрволом или чем-то другим? Мне очень нужна ваша помощь.
Я преодолел препятствие. Вы можете увидеть здесь.
Следующее, что вам нужно сделать, это создать правило файрвола для разрешения конкретного IP/порта.
Ответ или решение
Описание ситуации: Установление IKE_SA не удалось, партнер не отвечает
Проблема, с которой вы столкнулись, в частности, связана с настройкой VPN с использованием Strongswan версии 5.8.2 на CentOS 8. Сообщение об ошибке "establishing IKE_SA failed, peer not responding" указывает на то, что ваш сервер не получает ответ от удаленного шлюза (gateway). Это может быть вызвано несколькими факторами, включая сетевые настройки, проблемы с конфигурацией фаервола, или конфликты с другими сетевыми службами.
Анализ конфигурации
Вы привели свою конфигурацию в swanctl. Давайте рассмотрим ключевые элементы:
-
IP-адреса: Важно убедиться, что
public-IP-site1иpublic-ip-site2правильно настроены и действительно доступны. Попробуйте выполнить трассировку доpublic-ip-site2, чтобы убедиться в наличии маршрутов. -
Порт и протокол: Убедитесь, что порты 500 и 4500 (если используете NAT-T) открыты на обеих сторонах, как для UDP, так и для исходящих соединений.
-
Предоставленный PSK (предварительно общий ключ): Убедитесь, что ключ PSK правильно настроен на обеих сторонах. В вашем случае ключ
ThisIsPSKkeyдолжен совпадать с ключом на сервере-партнере. -
Конфигурация фаервола: Судя по вашему последнему сообщению, вам нужно настраивать фаервол для разрешения трафика на порты 500 и 4500, как и для разрешения соединений между
public-IP-site1иpublic-ip-site2.
Возможные причины и решения
-
Ошибка сетевого адреса: Сообщение "error writing socket: Network Unreachable" указывает на возможные проблемы с маршрутизацией или конфигурацией сети. Убедитесь, что ваш
public-IP-site1правильно настроен в маршрутизаторе, и что он действительно доступен в интернете. -
Фаервол: Как вы уже заметили, необходимо обновить правила фаервола. Убедитесь, что настройки фаервола на вашем CentOS 8 позволяют проходить трафику на порты 500 и 4500:
sudo firewall-cmd --permanent --add-port=500/udp sudo firewall-cmd --permanent --add-port=4500/udp sudo firewall-cmd --reload -
Проверка соединения: Попробуйте использовать утилиту
telnetилиnc(netcat) для проверки доступности порта 500 на удаленном сервере:nc -zu public-ip-site2 500Если соединение не удастся, это значит, что либо удаленный сервер не отвечает, либо фаервол блокирует запросы.
-
Проверка системных логов: Проверяйте журналы системных событий (например,
/var/log/messagesилиjournalctl -xe) на наличие дополнительных сообщений об ошибках, которые могут указать на проблемы с сетью или конфигурацией.
Заключение
Эти шаги помогут вам правильно настроить соединение VPN и выявить, где именно возникает проблема. Изучение сетевой инфраструктуры, проверка конфигурации фаервола и тестирование соединений на разных уровнях предоставляют важные подсказки в процессе устранения неполадок. Убедитесь, что обе стороны сконфигурированы корректно, и все необходимые порты открыты, что является критически важным для успешного установления IKE_SA.