Libreswan VPN对接 StrongSwan VPN配置
1、在StrongSwan主机上,编辑StrongSwan的配置文件/etc/ipsec.conf,添加以下内容:
conn libreswan
left=<StrongSwan主机的公共IP>
leftsubnet=0.0.0.0/0
leftid=<StrongSwan主机的公共IP>
right=<Libreswan主机的公共IP>
rightsubnet=0.0.0.0/0
rightid=<Libreswan主机的公共IP>
authby=secret
ike=aes256-sha1-modp2048
esp=aes256-sha1
keyexchange=ikev2
auto=start
2、在StrongSwan主机上,编辑StrongSwan的预共享密钥文件/etc/ipsec.secrets,添加以下内容:
<StrongSwan主机的公共IP> <Libreswan主机的公共IP> : PSK "<预共享密钥>"
3、在StrongSwan主机上,重启StrongSwan服务以使配置生效:
systemctl restart strongswan
4、 在Libreswan主机上,编辑Libreswan的配置文件/etc/ipsec.conf,添加以下内容:
conn strongswan
left=<Libreswan主机的公共IP>
leftsubnet=0.0.0.0/0
leftid=<Libreswan主机的公共IP>
right=<StrongSwan主机的公共IP>
rightsubnet=0.0.0.0/0
rightid=<StrongSwan主机的公共IP>
authby=secret
ike=aes256-sha1-modp2048
esp=aes256-sha1
keyexchange=ikev2
auto=start
5、在Libreswan主机上,编辑Libreswan的预共享密钥文件/etc/ipsec.secrets,添加以下内容:
<Libreswan主机的公共IP> <StrongSwan主机的公共IP> : PSK "<预共享密钥>"
6、在Libreswan主机上,重启Libreswan服务以使配置生效:
systemctl restart libreswan
连接失败故障排查
1、无法建立到对端的链接,对端未收到链接建立请求
如果是云上的VPS服务器,那么在StrongSwan的配置中,left字段的值为内网端口ip
2、主机显示预共享秘钥错误
检查/etc/ipsec.secrets格式是否正确,其中空格不能或缺,否则报错。
格式为:<本端IP>空格<对端IP>空格:PSK空格<秘钥>
如果遇到其他问题请留言,会根据情况进行补充