আমি উবুন্টু 14.04.2 এলটিএস চলমান দুটি অ্যামাজন এডাব্লুএস ইসি 2 উদাহরণের মধ্যে স্ট্রংসওয়ান 5.1.2 ব্যবহার করে একটি ভিপিএন সুড়ঙ্গ স্থাপন করার চেষ্টা করছি। স্ট্রংসওয়ান ব্যবহার করার আগে আমি অ্যামাজন রেডহ্যাট এএমআই-তে খোলা (লিবারে) রাজহাঁস ব্যবহার করেছি, যা ভাল কাজ করেছে। কিছু কারণে আমি এমনকি স্ট্রংসওয়ানের পক্ষে আইকেই কাজ করতে পারি না। আমি আমার এডাব্লুএস কনফিগারেশনগুলি ট্রিপল করে দেখেছি এবং এটি সমস্ত ভাল দেখাচ্ছে, সুতরাং এটি অবশ্যই স্ট্রংসওয়ান কনফিগারেশনের সমস্যা হতে পারে।
আপনি নীচে দেখতে পাবেন, আমি যে ত্রুটিটি পাচ্ছি তা হ'ল "সকেটে লেখার ক্ষেত্রে ত্রুটি: অবৈধ যুক্তি" । আমি অনলাইনে দেখেছি এবং এর সমাধান সত্যিই খুঁজে পাচ্ছি না। আমি দৃ am় বিশ্বাস করি আমার শক্তিশালী আইপিসকনফোনটি ভুলভাবে কনফিগার করা হয়েছে।
আমি যা নিয়ে কাজ করছি তা এখানে:
Instance #1: N.Virginia - 10.198.0.164 with public EIP 54.X.X.X
Instance #2: Oregon - 10.194.0.176 with public EIP 52.Y.Y.Y
(সরল) টপোলজিটি নিম্নরূপ:
[ Instance #1 within N.Virginia VPC <-> Public internet <-> Instance #2 within Oregon VPC ]
আমি যাচাই করেছি যে নিম্নলিখিত AWS কনফিগারেশন সঠিক:
Security groups permit all
IP information is correct
Src/Dest disabled on both instances
ACLs permit all
routes are present and correct (route to 10.x will point to that local instance in order to be routed out to the VPN tunnel)
নীচে /etc/ipsec.conf (এটি ওরেগন থেকে এসেছে, তবে এটি এন। ভার্জিনিয়ার উদাহরণে একই বাম | ডান মানগুলি বিপরীত হওয়া ব্যতীত) :
config setup
charondebug="dmn 2, mgr 2, ike 2, chd 2, job 2, cfg 2, knl 2, net 2, enc 2, lib 2"
conn aws1oexternal-aws1nvexternal
left=52.Y.Y.Y (EIP)
leftsubnet=10.194.0.0/16
right=54.X.X.X (EIP)
rightsubnet=10.198.0.0/16
auto=start
authby=secret
type=tunnel
mobike=no
dpdaction=restart
নীচে /etc/ipsec.secrets * রয়েছে (অন্য উদাহরণগুলির জন্য বিপরীত, স্পষ্টতই):
54.X.X.X 52.Y.Y.Y : PSK "Key_inserted_here"
নীচে /etc/strongswan.conf রয়েছে:
charon {
load_modular = yes
plugins {
include strongswan.d/charon/*.conf
}
}
নীচে /etc/sysctl.conf রয়েছে:
net.ipv4.ip_forward=1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
এখানে / var / log / syslog থেকে ডিবাগ আউটপুটটি মনে হচ্ছে সমস্যাটি এখানে "সকেটে লেখার ক্ষেত্রে ত্রুটি: অবৈধ যুক্তি; সবকিছু চেষ্টা করার পরেও, আমি এই একই ত্রুটিটি পেতে থাকি :
Jun 17 17:34:48 ip-10-198-0-164 charon: 13[IKE] retransmit 5 of request with message ID 0
Jun 17 17:34:48 ip-10-198-0-164 charon: 13[NET] sending packet: from 54.X.X.X[500] to 52.Y.Y.Y[500] (1212 bytes)
Jun 17 17:34:48 ip-10-198-0-164 charon: 03[JOB] next event in 75s 581ms, waiting]
Jun 17 17:34:48 ip-10-198-0-164 charon: 16[NET] sending packet: from 54.X.X.X[500] to 52.Y.Y.Y[500]
Jun 17 17:34:48 ip-10-198-0-164 charon: 13[MGR] checkin IKE_SA aws1vexternal-aws1oexternal[1]
Jun 17 17:34:48 ip-10-198-0-164 charon: 13[MGR] check-in of IKE_SA successful.
Jun 17 17:34:48 ip-10-198-0-164 charon: 16[NET] error writing to socket: Invalid argument
Jun 17 17:36:04 ip-10-198-0-164 charon: 03[JOB] got event, queuing job for execution
Jun 17 17:36:04 ip-10-198-0-164 charon: 03[JOB] no events, waiting
Jun 17 17:36:04 ip-10-198-0-164 charon: 08[MGR] checkout IKE_SA
Jun 17 17:36:04 ip-10-198-0-164 charon: 08[MGR] IKE_SA aws1vexternal-aws1oexternal[1] successfully checked out
Jun 17 17:36:04 ip-10-198-0-164 charon: 08[IKE] giving up after 5 retransmits
Jun 17 17:36:04 ip-10-198-0-164 charon: 08[IKE] establishing IKE_SA failed, peer not responding
Jun 17 17:36:04 ip-10-198-0-164 charon: 08[MGR] checkin and destroy IKE_SA aws1vexternal-aws1oexternal[1]
Jun 17 17:36:04 ip-10-198-0-164 charon: 08[IKE] IKE_SA aws1vexternal-aws1oexternal[1] state change: CONNECTING => DESTROYING
Jun 17 17:36:04 ip-10-198-0-164 charon: 08[MGR] check-in and destroy of IKE_SA successful
নীচে আমি এ পর্যন্ত চেষ্টা করেছি:
1) যাচাই স্তর 3
2) পুনরায় বুট করা মেশিন
3) লেফটিড = যুক্ত করার চেষ্টা করা হয়েছে
4) আইপিস্ক আপডেট করার চেষ্টা করে আইপিস্ক পুনরায় চালু করুন
৫) নাট_ট্রেভারসাল = হ্যাঁ কনফিফ সেটআপের অধীনে চেষ্টা করার চেষ্টা করুন (নোট করুন যে আইপিইভি 2 ব্যবহার করে আইপিএসের স্থিতি যাচাই করা হয়েছে, ডকুমেন্টেশন অনুসারে স্বয়ংক্রিয়ভাবে ন্যাট_ট্রাসগুলি ব্যবহার করে)
)) ভার্চুয়াল_প্রাইভেট বাদ দেওয়ার চেষ্টা <- এডাব্লুএস ওপেনসওয়ান ডকুমেন্টেশন অনুযায়ী ব্যবহৃত হয়েছিল তাই আমি এটিকে স্ট্রিংসওয়ান কনফিগারেশনে অন্তর্ভুক্ত করেছি।
)) নেট.আইপিভি 4 কোডন.এল.সেন্ড_ডায়ারেক্টস = 0 এবং নেট.ipv4.conf.all.accept_redirects = 0 /etc/sysctl.conf এ অক্ষম করার চেষ্টা করা হয়েছে
8) ইআইপিগুলির পরিবর্তে প্রাইভেট আইপি ব্যবহারের চেষ্টা করা হয়েছে। আমি আর সকেটের ত্রুটি পাই না, তবে স্পষ্টতই দুটি আইপি একে অপরের সাথে পিয়ার করতে যোগাযোগ করতে পারে না ...
9) এটি strongswan.conf এ যুক্ত করার চেষ্টা করা হয়েছে: লোড = এেস ডেস শ 1 শ 2 এমডি 5 জিএমপি র্যান্ডম ননস এইচএম্যাক স্ট্রোক কার্নেল-নেটলিঙ্ক সকেট-ডিফল্ট আপডেটাউন
10) বামফায়ারওয়াল ব্যবহার করার চেষ্টা করা = হ্যাঁ, কাজ হয়নি
সাহায্য করুন! ধন্যবাদ!
সম্পাদনা # 1:
মাইকেল এর প্রতিক্রিয়া আসল সমস্যাটি সাফ করেছে, তবে আমার রাউটিং সম্পর্কিত একটি নতুন সমস্যা আছে। উভয় ভিপিএন দৃষ্টান্ত একে অপরকে পিং করতে অক্ষম। তদ্ব্যতীত, আমি যখন কোনও সাবনেটের এলোমেলো উদাহরণ থেকে অন্য কোনও এলোমেলো উদাহরণ বা দূরবর্তী ভিপিএন উদাহরণে পিং করার চেষ্টা করি তখন আমি নীচের পিংয়ের প্রতিক্রিয়া পাই:
root@ip-10-194-0-80:~# ping 10.198.0.164
PING 10.198.0.164 (10.198.0.164) 56(84) bytes of data.
From 10.194.0.176: icmp_seq=1 Redirect Host(New nexthop: 10.194.0.176)
From 10.194.0.176: icmp_seq=2 Redirect Host(New nexthop: 10.194.0.176)
From 10.194.0.176: icmp_seq=3 Redirect Host(New nexthop: 10.194.0.176)
From 10.194.0.176: icmp_seq=4 Redirect Host(New nexthop: 10.194.0.176)
অবশ্যই ওরিগন সাবনেটের 10.194.0.80 হোস্ট ওরেগন ভিপিএন উদাহরণ থেকে প্রতিক্রিয়া পেতে সক্ষম হওয়ায় এটি অবশ্যই দুটি ভিপিএন দৃষ্টান্তের মধ্যে (সম্ভবত সম্ভবত স্ট্রিংসওয়ান কনফিগারেশন বা উদাহরণস্বরূপ রাউটিং টেবিলের কারণে) একটি রাউটিং ইস্যু হতে হবে। রুট টেবিল + উদাহরণস্বরূপ:
root@ip-10-194-0-80:~# netstat -rn
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 10.194.0.1 0.0.0.0 UG 0 0 0 eth0
10.194.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
root@ip-10-194-0-80:~# traceroute 10.198.0.164
traceroute to 10.198.0.164 (10.198.0.164), 30 hops max, 60 byte packets
1 10.194.0.176 (10.194.0.176) 0.441 ms 0.425 ms 0.409 ms^C
আমি যখন ওপেনওয়ান ব্যবহার করছিলাম, তখন প্রতিটি প্রতিবেদনের রাউটিং টেবিলটিতে আমার কোনও ম্যানুয়াল পরিবর্তন করার প্রয়োজন ছিল না।
এখানে অরেগন ভিপিএন উদাহরণের রাউটিং টেবিলটি রয়েছে:
root@ip-10-194-0-176:~# netstat -rn
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 10.194.0.1 0.0.0.0 UG 0 0 0 eth0
10.194.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
আমি কিছুটা স্টম্পড।
সম্পাদনা # 2:
দেখে মনে হচ্ছে ভিপিএন উদাহরণগুলির মধ্যে রাউটিংয়ের সমস্যা নাও হতে পারে: / var / লগ / সিসলোগ দেখায় যে প্যাকেটগুলি একটি ভিপিএন উদাহরণ পাবলিক আইপি থেকে অন্য ভিপিএন দৃষ্টান্তে প্রাপ্ত হয়েছে
Jun 23 19:57:49 ip-10-194-0-176 charon: 10[NET] received packet: from 54.X.X.X[4500] to 10.194.0.176[4500] (76 bytes)
দেখে মনে হচ্ছে এটি শিশু সুরক্ষা সমিতি সম্পর্কিত কোনও সমস্যা:
aws1oexternal-aws1nvexternal: child: 10.194.0.0/16 === 10.198.0.0/16 TUNNEL, dpdaction=restart
Security Associations (1 up, 0 **connecting**):
প্রথমেই / var / log /? Syslog- র:
Jun 23 19:52:19 ip-10-194-0-176 charon: 02[IKE] failed to establish CHILD_SA, keeping IKE_SA
Jun 23 19:52:48 ip-10-194-0-176 charon: 11[IKE] queueing CHILD_CREATE task
Jun 23 19:52:48 ip-10-194-0-176 charon: 11[IKE] activating CHILD_CREATE task
Jun 23 19:52:48 ip-10-194-0-176 charon: 06[IKE] establishing CHILD_SA aws1oexternal-aws1nvexternal
Jun 23 19:52:48 ip-10-194-0-176 charon: 10[IKE] received FAILED_CP_REQUIRED notify, no CHILD_SA built
Jun 23 19:52:48 ip-10-194-0-176 charon: 10[IKE] failed to establish CHILD_SA, keeping IKE_SA
Jun 23 19:52:49 ip-10-194-0-176 charon: 14[CFG] looking for a child config for 10.194.0.0/16 === 10.198.0.0/16
Jun 23 19:52:49 ip-10-194-0-176 charon: 14[CFG] found matching child config "aws1oexternal-aws1nvexternal" with prio 10
Jun 23 19:52:49 ip-10-194-0-176 charon: 14[IKE] configuration payload negotiation failed, no CHILD_SA built
Jun 23 19:52:49 ip-10-194-0-176 charon: 14[IKE] failed to establish CHILD_SA, keeping IKE_SA
*** সম্পাদনা # 3: সমস্যার সমাধান (আহ, আসলে সম্পাদনা নীচে # 4 দেখুন ...) ****
সমস্যা স্থির।
1) আমি মাইকেলের কনফিগারেশনের দিকনির্দেশগুলি যথাযথভাবে অনুসরণ করি নি। আমি একসাথে একটি রাইটসোর্সিপ এবং লেফটসোর্সিফও কনফিগার করেছি, যার ফলে উভয় দৃষ্টান্তই বিশ্বাস করা যে তারা উভয়ই উদ্যোগী। আমি নিশ্চিত করেছি যে একজন একজন প্রবর্তক এবং একজন একজন অনুরোধকারী ছিলেন; এটি আইকেই সমস্যা সমাধান করেছে।
2) আমি বুঝতে পেরেছিলাম যে আমাকে স্পষ্টভাবে esp প্যারামিটারও সেট করতে হয়েছিল। যদিও ইতিমধ্যে একটি ডিফল্ট রয়েছে (aes128-sha1,3des-sha1), esp প্যারামিটারটি এখনও esp বা আহ ব্যবহার করতে (তবে উভয় নয়) ব্যবহারের জন্য জানতে পারা যেতে হবে। আমি aes128-sha1-modp2048 ব্যবহার করে শেষ করেছি।
আশা করি এই পোস্টিং পরবর্তী লিনাক্স নবাগত এটি সেট আপ করতে সহায়তা করে !!
চিয়ার্স!
সম্পাদনা # 4: সমস্যা (সত্যই নয়) সমাধান হয়েছে
স্ট্রংসওয়ান সম্পর্কিত একটি পৃথক সমস্যার সমস্যা সমাধানের সময়, আমি "বামফায়ারওয়াল" প্যারামিটারটি পরিবর্তন করেছি, পরীক্ষা করেছি, আমার পৃথক সমস্যাটি স্থির করিনি, তারপরেই পূর্বে উত্সের কনফিগারেশনে ফিরে গিয়েছি (মন্তব্য করা হয়েছে বামফায়ারওয়াল)। আমি তখন লক্ষ্য করেছি যে আমি এখন টানেলের ওপারে পিং করতে পারছি না। কী ঘটেছে তা বোঝার চেষ্টা করার জন্য কয়েক ঘন্টা পাগল হওয়ার পরে, আমি কী ঘটবে তা দেখার জন্য এসএসপি প্যারামিটারটি মন্তব্য করেছিলাম: আমি এখন টুনেলকে আবার পিং করতে পারি! <- সুতরাং, আমার উপর কৌতুক বাজানোর আশেপাশে কিছু আইপসিস ভূত চলার সম্ভাবনা রয়েছে এবং ES পরামিতিটি TS_UNACCEPTABLE ত্রুটির জন্য সত্যই ঠিক নয় (যদিও অন্যান্য সংস্থাগুলি অনলাইনে রাষ্ট্রের esp প্যারামিটারটিই ঠিক করা আছে ...)
সম্পাদনা # 5: সমস্যা সম্পূর্ণরূপে সমাধান হয়েছে
আমি সবকিছুকে একটি পরীক্ষার পরিবেশে নিয়ে যাওয়া এবং স্ক্র্যাচ থেকে শুরু করে শেষ করেছি। উবুন্টু রেপোতে (5.1.2) পুরানো সংস্করণটির চেয়ে আমি সর্বশেষ সংস্করণ (5.3.2) ব্যবহার করে উত্স থেকে ইনস্টল করেছি। এটি আমার উপরে যে সমস্যাটি ছিল তা পরিষ্কার করেছে এবং ভিপিএন টানেলের উপর একাধিক সাবনেটগুলির মধ্যে নেটক্যাট (দুর্দান্ত সরঞ্জাম !!) ব্যবহার করে স্তর 7 সংযোগটি যাচাই করেছে।
এছাড়াও: এটা হয় না , (যেমন আমি ভুল আমাজন বিশ্বাস করতে নেতৃত্ব দেন) VPC জন্য DNS হোস্ট-নেম সক্ষম করা প্রয়োজন অবগতির জন্য>
আশা করি এই সব সাহায্য করবে !!!!!!
অতিরিক্ত সম্পাদনা 2/11/2017:
JustEngland এর অনুরোধ অনুসারে, নীচের কার্যকারী কনফিগারেশনটি অনুলিপি করুন (কোনওভাবেই সনাক্তকরণ রোধ করার জন্য নির্দিষ্ট বিশদটি রেখে):
সাইড এ:
# ipsec.conf - strongSwan IPsec configuration file
# basic configuration
config setup
# Add connections here.
conn %default
ikelifetime= You choose; must match other side
keylife= You choose; must match other side
rekeymargin= You choose; must match other side
keyingtries=1
keyexchange= You choose; must match other side
authby=secret
mobike=no
conn side-a
left=10.198.0.124
leftsubnet=10.198.0.0/16
leftid=54.y.y.y
leftsourceip=10.198.0.124
right=52.x.x.x
rightsubnet=10.194.0.0/16
auto=start
type=tunnel
# Add connections here.
root@x:~# cat /etc/ipsec.secrets
A.A.A.A B.B.B.B : PSK "Your Password"
সাইড বি:
# ipsec.conf - strongSwan IPsec configuration file
# basic configuration
config setup
conn %default
ikelifetime= You choose; must match other side
keylife= You choose; must match other side
rekeymargin= You choose; must match other side
keyingtries=1
keyexchange= You choose; must match other side
authby=secret
mobike=no
conn side-b
left=10.194.0.129
leftsubnet=10.194.0.0/16
leftid=52.x.x.x
right=54.y.y.y
rightsubnet=10.198.0.0/16
rightsourceip=10.198.0.124
auto=start
type=tunnel
root@x:~# cat /etc/ipsec.secrets
B.B.B.B A.A.A.A : PSK "Your Password"