Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

- IPSec - policy PSK+IKEV1_ALLOW

27 Cze 2019 22:06 300 8
  • Poziom 13  
    Witam,

    Zainstalowałem serwer ipsec ze skryptu https://git.io/vpnsetup
    Za pomocą adresu ipv4 połączyłem się z serwerem bez najmniejszego problemu, jednak gdy próbuję się połączyć za pomocą ipv6 to w logach serwera ipsec widzę komunikat:
    Code:
    packet from [2a00:aaaa:bbbb:cccc:dddd:1111:7777:8888]:500: initial Main Mode message received on 2a00:1111:aa:bbb::1:500 but no connection has been authorized with policy PSK+IKEV1_ALLOW
  • Poziom 15  
    A czy na pewno dobrze ma Kolega skonfigurowaną sieć ipv6 ?
  • Poziom 13  
    Raczej tak, ponieważ wg mnie: gdyby sieć ipv6 była źle skonfigurowana to w logach serwera ipsec nie pojawiał by się żaden komunikat.

    Poza tym za pomocą putty łącze się z serwerem vps po ipv4 oraz ipv6.
  • Poziom 15  
    W takim razie należy sprawdzić czy twój VPN config tez o tym wie ...

    Tutaj masz trochę inny przykład - ale warto sobie porównać zwłaszcza w kwestii odniesień do ipv6
    https://help.fortinet.com/fos50hlp/52data/Con...Pv6_and_IPsec/Site_Site_IPv6_over_IPv4_ex.htm

    Natomiast w załaczonym przez ciebie skrypcie nie ma ani linijki dotyczącej IPv6
    jak również nie ma ich w dołączonych doń regułach dla iptables....
    i tutaj obawiam się, że może tkwić problem.

    zwróć też uwagę na konfiguracje routingu do i z 6tki np w tej części :
    Code:

    config router static6
    edit 1
    set device toA
    set dst fec0:0000:0000:0000::/64
    end
    config router static
    edit 1
    set device port2
    set gateway 10.0.1.254
    end
  • Poziom 13  
    Tak wygląda mój plik /etc/ipsec.conf
    11.11.11.11 to moje przykładowe zewnętrzne ipv4, próbowałem zmienić wartości: interfaces, left oraz leftid na ipv6 jednak nie przyniosło to pomyślnego rezultatu.
    Kod który podałeś dotyczy fortinet i w moim przypadku gdy serwer ipsec mam na ubuntu 16.04 nie chcę działać.

    Code:
    version 2.0
    

    config setup
      virtual-private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!192.168.42.0/24,%v4:!192.168.43.0/24
      protostack=netkey
      interfaces=%defaultroute
      uniqueids=no

    conn shared
      left=%defaultroute
      leftid=11.11.11.11
      right=%any
      encapsulation=yes
      authby=secret
      pfs=no
      rekey=no
      keyingtries=5
      dpddelay=30
      dpdtimeout=120
      dpdaction=clear
      ikev2=never
      ike=aes256-sha2,aes128-sha2,aes256-sha1,aes128-sha1,aes256-sha2;modp1024,aes128-sha1;modp1024
      phase2alg=aes_gcm-null,aes128-sha1,aes256-sha1,aes256-sha2_512,aes128-sha2,aes256-sha2
      sha2-truncbug=yes

    conn l2tp-psk
      auto=add
      leftprotoport=17/1701
      rightprotoport=17/%any
      type=transport
      phase2=esp
      also=shared

    conn xauth-psk
      auto=add
      leftsubnet=0.0.0.0/0
      rightaddresspool=192.168.43.10-192.168.43.250
      modecfgdns="8.8.8.8 8.8.4.4"
      leftxauthserver=yes
      rightxauthclient=yes
      leftmodecfgserver=yes
      rightmodecfgclient=yes
      modecfgpull=yes
      xauthby=file
      ike-frag=yes
      cisco-unity=yes
      also=shared
  • Poziom 15  
    kamilalek1 napisał:
    Kod który podałeś dotyczy fortinet i w moim przypadku gdy serwer ipsec mam na ubuntu 16.04 nie chcę działać.
    Zdaję sobie sprawę - ale podałem go raczej jako przykład że trzeba pochylić się nad obsługą ruchu ipv6 i być może zmodyfikować skrypt którego używasz ... Nie mam konkretnego rozwiązania na już - ale raczej kierunek który sugeruję .

    Być może ktoś z szan. Koleżeńtwa będzie miał gotowe rozwiązanie i go poda.
  • Poziom 13  
    rozumiem, na openvpn udało mi się uruchomić połączenie po ipv6, jednak w przypadku ipsec mam problem, wieczorem poszukam informacji o ipv6 w dokumentacji ipsec i jak uda się zestawić połączenia to podam prawidłowy config.
  • Poziom 43  
    @kamilalek1
    A jest Kolega pewien, że jego operator internetowy obsługuje i ma poprawnie wdrożone IPv6?
  • Poziom 13  
    Tak, operator obsługuję ipv6