strongSwan VPN Verbindung mit Juniper SRX240 Servicegateway

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
djdigger
Beiträge: 1
Registriert: 08.06.2016 14:34:12

strongSwan VPN Verbindung mit Juniper SRX240 Servicegateway

Beitrag von djdigger » 08.06.2016 14:38:50

Moin Gemeinde,

ich muss einen VPN Tunnel aufbauen und stehe ein wenig auf dem Schlauch.

Die Firma, zu der ich den Tunnel aufbauen muss hat mir folgende Infos gegeben:

Hardware: Juniper SRX240 (Version 12.1x47)

Tunnelendpunkt (externe IP-Adresse der VPN Gateways): xxx.xxx.xxx.xxx

Encryption Domänen (Netzwerke hinter den VPN-Gateways): yyy.yyy.yyy.yyy/24

IKE Phase1 Parameter:
  • Verschlüsselungsalgoritmus: AES-256
    Hash-Algorithmus (MD5, SHA-1): SHA-1
    Diffie-Hellman Group (1,2 oder 5): 5
    Lebensdauer der Phase1 IKE-SA in Sekunden: 86400
    Shared Secret
    Aushandlungsmodus: main mode
IKE Phase 2 Parameter:
  • Verschlüsselungsalgoritmus (3DES, DES, AES): AES-256
    Hash-Algorithmus (MD5, SHA-1): SHA1
    Lebensdauer der Phase2 IPsec-SA in Sekunden: 3600
    Perfect Forward Secrecy: [ja]
    Diffie-Hellman Group (1,2 oder 5): [5]
Ich bin auf einem Managed Root Server eingeloggt auf dem Debian 8.5 läuft. Ich habe strongswan installiert und konfiguriert, glaube aber mehr schlecht als recht.

Vielleicht kann mir jemand von euch helfen und Licht ins Dunkle bringen.

Meine ipsec.conf sieht wie folgt aus:

Code: Alles auswählen

# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup
        # strictcrlpolicy=yes
        # uniqueids = no

# Add connections here.

conn Prod
    type=tunnel
    ah=aes256-sha1
    ike=aes256-sha1
    phase2alg=aes256-sha1
    keyingtries=1
    keyexchange=ikev2
    right=xxx.xxx.xxx.xxx
    rightsubnet=yyy.yyy.yyy.yyy/24
    rightauth=psk
    left=%defaultroute
    leftsourceip=%config
    leftauth=psk
    auto=add
In der ipsec.secrets ist nur eine Zeile:

Code: Alles auswählen

%any %any : PSK "geheim"
Wenn ich jetzt 'ipsec up Prod' eingebe erhalte ich folgende Ausgabe:
vergrößern

Code: Alles auswählen

initiating IKE_SA Prod[7] to xxx.xxx.xxx.xxx
generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
sending packet: from zzz.zzz.zzz.zzz[500] to xxx.xxx.xxx.xxx[500] (1060 bytes)
received packet: from xxx.xxx.xxx.xxx[500] to zzz.zzz.zzz.zzz[500] (103 bytes)
ignoring INFORMATIONAL_V1 IKEv1 exchange on IKEv2 SA
retransmit 1 of request with message ID 0
sending packet: from zzz.zzz.zzz.zzz[500] to xxx.xxx.xxx.xxx[500] (1060 bytes)
retransmit 2 of request with message ID 0
sending packet: from zzz.zzz.zzz.zzz[500] to xxx.xxx.xxx.xxx[500] (1060 bytes)
retransmit 3 of request with message ID 0
sending packet: from zzz.zzz.zzz.zzz[500] to xxx.xxx.xxx.xxx[500] (1060 bytes)
retransmit 4 of request with message ID 0
sending packet: from zzz.zzz.zzz.zzz[500] to xxx.xxx.xxx.xxx[500] (1060 bytes)
retransmit 5 of request with message ID 0
sending packet: from zzz.zzz.zzz.zzz[500] to xxx.xxx.xxx.xxx[500] (1060 bytes)
giving up after 5 retransmits
establishing IKE_SA failed, peer not responding
establishing connection 'Prod' failed
xxx ist der Remote Gateway und zzz die ServerIP.

Danke im Voraus!
Nach oben
mludwig
Beiträge: 807
Registriert: 30.01.2005 19:35:04

Re: strongSwan VPN Verbindung mit Juniper SRX240 Servicegate

Beitrag von mludwig » 08.06.2016 16:41:07

Naja, du hast deinen VPN-Dienst in der Konfig auf IKEv2 festgenagelt, während dein gegenüber gerne IKEv1 sprechen möchte. Damit verstehen sie sich nicht und die Verbindung kommt nicht zu stande.

In deiner Konfig steht

Code: Alles auswählen

keyexchange=ikev2
Im Log steht

Code: Alles auswählen

ignoring INFORMATIONAL_V1 IKEv1 exchange on IKEv2 SA
Sie auch https://wiki.strongswan.org/projects/st ... onnSection für weitergehende Lektüre.

mludwig
Nach oben
Antworten

Zurück zu „Netzwerk“