このセクションの記事

strongSwan使えますか?(Debian Buster)

NTTPC
  • 更新
フォローする

接続できたところまで確認した設定例を記載します。

目次

ー はじめに

  • 本ページ内容はすべてサポート対象外となります。問い合わせには対応いたしません。
  • 接続できることを保証するものではありません。
  • 長期安定性試験や障害試験を実施しておりません。
  • 本設定例を利用したことにより、被った損害、及び損失について、いかなる理由に関わらず、弊社は一切責任を負わないものとします。予めご了承ください。

 環境

構成:NAPTルータ配下のLinuxマシン
+--------------+        +--------------------+
| Debian 10.04 +--------+ブロードバンドルータ +----- Internet---
+--------------+        +--------------------+
※以下記載は省略
  interfaceの設定
  Internet接続の確認
  strongswan-swanctl(5.7.2)のaptインストール
 IFを2つ利用したLinuxをルーターとして利用する準備

 strongSwanの設定例

/etc/swanctl/swanctl.conf
connections {
  nttpc {
  local_addrs = DebianのWAN側IP
  remote_addrs = IPSecGlobalIP
  reauth_time = 0
  rekey_time = 240m
  over_time = 20m
  dpd_delay = 30s
  fragmentation = no
  unique = replace
  local {
    auth = psk
    id = hogehoge@nfv.nttpc.ne.jp
  }
  remote {
    auth = psk
    id = IPSecGlobalIP
  }
  children {
    nttpc {
      mode = tunnel
      start_action = start
      local_ts = 0.0.0.0/0
      remote_ts = 0.0.0.0/0
      esp_proposals = aes256-sha256-modp2048-noesn
      life_time = 120m
      rekey_time = 100m
      dpd_action = restart
      mark_in = 1
      mark_out = 1
    }
   }
   version = 2
   proposals = aes256-sha256-prfsha256-modp2048
  }
}
secrets {
  ikev2-ussgw {
    id = IPSecGlobalIP
    secret = PRESHARE
    }
}

/etc/strongswan.d/charon.conf
install_routes = no
start-scripts {
   swanctl = /usr/sbin/swanctl -q

/etc/strongswan.d/charon-logging.conf
 filelog {
   charon {
     append = yes
     default = 1
     path = /var/log/charon.log
     flush_line = yes
     ike_name = yes
     time_add_ms = yes
     time_format = %b %e %T
 }

/etc/apparmor.d/usr.lib.ipsec.charon 
#以下行を追加
/var/log/charon.log rw

/etc/logrotate.d/charon
/var/log/charon.log { 
 missingok
 copytruncate 
 compress
 notifempty 
 daily 
 rotate 5 
}

 TunnelInterfaceの設定例

VTIインターフェースの作成
sudo ip tunnel add vti0 mode vti local DebianのWAN側IP remote IPSecGlobalIP key 1
sudo ip link set vti0 up
sudo ip addr add NAPT後アドレス/30 dev vti0

VTIインターフェースへのルーティング変更+トンネル確立のためのGWへのルート追加
sudo ip route del default via ブロードバンドルーターのIPアドレス
sudo ip route add default dev vti0
sudo ip route add IPSecGlobalIP/32 via ブロードバンドルーターのIPアドレス dev DebianのWAN側IF名

VTIインターフェースでのNAPT
sudo iptables -t nat -A POSTROUTING -o vti0 -j MASQUERADE

MSS値の調整
sudo iptables -t mangle -A FORWARD -o vti0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1280:1536 -j TCPMSS --set-mss 1280

 

 動作確認

sudo swanctl -l
nttpc: #1, ESTABLISHED, IKEv2, b935c42313d8eca7_i* f9de2bc081896714_r
 local 'hogehoge@nfv.nttpc.ne.jp' @ DebianのWAN側IP[4500]
 remote 'IPSecGlobalIP' @ IPSecGlobalIP[4500]
 AES_CBC-256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
 established 10117s ago, rekeying in 3970s
 nttpc: #2, reqid 1, INSTALLED, TUNNEL-in-UDP, ESP:AES_CBC-256/HMAC_SHA2_256_128/MODP_2048
   installed 5005s ago, rekeying in 14s, expires in 2195s
   in cacf8b48 (0x00000001), 16619 bytes, 42 packets, 3s ago
   out e4b1574e (0x00000001), 4088 bytes, 46 packets, 3s ago
   local 0.0.0.0/0
   remote 0.0.0.0/0

grep rekeyed /var/log/charon.log 
May 14 12:19:56.869 12[IKE] <nttpc|1> IKE_SA nttpc[2] rekeyed between DebianのWAN側IP[hogehoge@nfv.nttpc.ne.jp...IPSecGlobalIP[IPSecGlobalIP]

grep established /var/log/charon.log 
May 14 08:25:09.835 14[IKE] <nttpc|1> IKE_SA nttpc[1] established between DebianのWAN側IP[hogehoge@nfv.nttpc.ne.jp]...IPSecGlobalIP[IPSecGlobalIP]
May 14 08:25:09.836 14[IKE] <nttpc|1> CHILD_SA nttpc{1} established with SPIs ca139835_i a49a5b10_o and TS 0.0.0.0/0 === 0.0.0.0/0
May 14 09:50:21.874 16[IKE] <nttpc|1> inbound CHILD_SA nttpc{2} established with SPIs ce3a6697_i 036742ab_o and TS 0.0.0.0/0 === 0.0.0.0/0
May 14 09:50:21.874 16[IKE] <nttpc|1> outbound CHILD_SA nttpc{2} established with SPIs ce3a6697_i 036742ab_o and TS 0.0.0.0/0 === 0.0.0.0/0
May 14 11:14:00.909 13[IKE] <nttpc|1> inbound CHILD_SA nttpc{3} established with SPIs cacf8b48_i e4b1574e_o and TS 0.0.0.0/0 === 0.0.0.0/0
May 14 11:14:00.910 13[IKE] <nttpc|1> outbound CHILD_SA nttpc{3} established with SPIs cacf8b48_i e4b1574e_o and TS 0.0.0.0/0 === 0.0.0.0/0
May 14 12:38:06.944 09[IKE] <nttpc|2> inbound CHILD_SA nttpc{4} established with SPIs c351a9d8_i 5fa85714_o and TS 0.0.0.0/0 === 0.0.0.0/0
May 14 12:38:06.944 09[IKE] <nttpc|2> outbound CHILD_SA nttpc{4} established with SPIs c351a9d8_i 5fa85714_o and TS 0.0.0.0/0 === 0.0.0.0/0

ping NAPT後アドレス/30のもう一方のアドレス
ping -s 1472 NAPT後アドレス/30のもう一方のアドレス
PING NAPT後アドレス/30のもう一方のアドレス (NAPT後アドレス/30のもう一方のアドレス) 1472(1500) bytes of data.
From NAPT後アドレス icmp_seq=1 Frag needed and DF set (mtu = 1422)
1480 bytes from NAPT後アドレス/30のもう一方のアドレス : icmp_seq=2 ttl=255 time=19.4 ms
1480 bytes from NAPT後アドレス/30のもう一方のアドレス : icmp_seq=3 ttl=255 time=21.2 ms
(略)

コメント

0件のコメント

記事コメントは受け付けていません。