Zywall 110 и VPN IPSec

Vinchy

Всем доброго дня!

Вопрос по IPSec Vpn. Есть Zywall 110 в офисе и нужно соединить его по VPN с удаленным сервером на Amazon. Vpn сервер на AWS 100% настроен и функционирует правильно, но Zywall к нему не подключается.

Настроен как клиент, с использованием ikev2 и ключа. Судя по логам, даже первая фаза не проходит. На удаленном сервере ipsec statusall выдает:

Security Associations (0 up, 3 connecting):
   ikev2-vpn[2688]: CONNECTING, 172.31.42.248[vpn.xxx.xxx.club]...X.X.X.X[CN=VPN root CA]
   ikev2-vpn[2688]: IKEv2 SPIs: 926c61193fa6829a_i a4ae0a69d82fa251_r*
   ikev2-vpn[2688]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
   ikev2-vpn[2688]: Tasks passive: IKE_CERT_PRE IKE_AUTH IKE_CERT_POST IKE_CONFIG CHILD_CREATE IKE_AUTH_LIFETIME IKE_MOBIKE
   ikev2-vpn[2687]: CONNECTING, 172.31.42.248[vpn.XXX.XXXX.club]...X.X.X.X[CN=VPN root CA]
   ikev2-vpn[2687]: IKEv2 SPIs: 141bca6d6345ecb1_i 6f4955fd918de0c5_r*
   ikev2-vpn[2687]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
   ikev2-vpn[2687]: Tasks passive: IKE_CERT_PRE IKE_AUTH IKE_CERT_POST IKE_CONFIG CHILD_CREATE IKE_AUTH_LIFETIME IKE_MOBIKE
   ikev2-vpn[2686]: CONNECTING, 172.31.42.248[vpn.xxx.xxxclub]...X.X.X.X[CN=VPN root CA]
   ikev2-vpn[2686]: IKEv2 SPIs: aa7d0648c937411a_i c023601249fc1441_r*
   ikev2-vpn[2686]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
   ikev2-vpn[2686]: Tasks passive: IKE_CERT_PRE IKE_AUTH IKE_CERT_POST IKE_CONFIG CHILD_CREATE IKE_AUTH_LIFETIME IKE_MOBIKE

И соединения не происходит.

В чем может быть проблема?

Zyxel_Andrew

Добрый день!

Пришлите IKE лог c ZyWALL в момент подключения. Для IPsec обычно нельзя сказать, что одна сторона настроена правильно, а вторая нет. Для работы IPsec необходимо, что бы настройки обоих сторон соответствовали одна другой. Можете показать настройки 1 и 2 фазы обоих сторон?

Vinchy

Добрый день.

В логах в Zywall вижу только это.

1

31.05.2022 13:06

info

IKE

IKE SA [vpn_gate] is disconnected

X.X.X.X:4500

Y.Y.Y.Y:4500 IKE_LOG 2 31.05.2022 13:06 info IKE [AUTH] Recv:[IDr][CERT][AUTH][EAP] Y.Y.Y.Y:4500 X.X.X.X:4500 IKE_LOG 3 31.05.2022 13:06 info IKE The cookie pair is : 0xdd29ec8225706c0f / 0x23a056a97cf9196c Y.Y.Y.Y:4500 X.X.X.X:4500 IKE_LOG 4 31.05.2022 13:06 info IKE [AUTH] Send:[IDi][CERTREQ][SAi2][TSi][TSr][NOTIFY][NOTIFY][NOTIFY][NOTIFY] X.X.X.X:4500 Y.Y.Y.Y:4500 IKE_LOG 5 31.05.2022 13:06 info IKE The cookie pair is : 0x23a056a97cf9196c / 0xdd29ec8225706c0f [count=2] X.X.X.X:4500 Y.Y.Y.Y:4500 IKE_LOG 6 31.05.2022 13:06 info IKE [INIT] Recv:[SA][KE][NONCE][NOTIFY][NOTIFY][NOTIFY][NOTIFY] Y.Y.Y.Y:500 X.X.X.X:500 IKE_LOG 7 31.05.2022 13:06 info IKE The cookie pair is : 0xdd29ec8225706c0f / 0x23a056a97cf9196c Y.Y.Y.Y:500 X.X.X.X:500 IKE_LOG 8 31.05.2022 13:06 info IKE [INIT] Send:[SAi1][KE][NONCE][NOTIFY][NOTIFY][VID][VID][VID][VID] X.X.X.X:500 Y.Y.Y.Y:500 IKE_LOG 9 31.05.2022 13:06 info IKE Tunnel[vpn:vpn_gate] Send IKEv2 request X.X.X.X:500 Y.Y.Y.Y:500 IKE_LOG 10 31.05.2022 13:06 info IKE The cookie pair is : 0x23a056a97cf9196c / 0x0000000000000000 [count=2] X.X.X.X:500 Y.Y.Y.Y:500 IKE_LOG 11 31.05.2022 13:05 info IKE IKE SA [vpn_gate] is disconnected X.X.X.X:4500 Y.Y.Y.Y:4500 IKE_LOG 12 31.05.2022 13:05 info IKE [AUTH] Recv:[IDr][CERT][AUTH][EAP] Y.Y.Y.Y:4500 X.X.X.X:4500 IKE_LOG 13 31.05.2022 13:05 info IKE The cookie pair is : 0xe3c8d4fb3626e771 / 0xfe93fd174d3d087a Y.Y.Y.Y:4500 X.X.X.X:4500 IKE_LOG 14 31.05.2022 13:05 info IKE [AUTH] Send:[IDi][CERTREQ][SAi2][TSi][TSr][NOTIFY][NOTIFY][NOTIFY][NOTIFY] X.X.X.X:4500 Y.Y.Y.Y:4500 IKE_LOG 15 31.05.2022 13:05 info IKE The cookie pair is : 0xfe93fd174d3d087a / 0xe3c8d4fb3626e771 [count=2] X.X.X.X:4500 Y.Y.Y.Y:4500 IKE_LOG 16 31.05.2022 13:05 info IKE [INIT] Recv:[SA][KE][NONCE][NOTIFY][NOTIFY][NOTIFY][NOTIFY] Y.Y.Y.Y:500 X.X.X.X:500 IKE_LOG 17 31.05.2022 13:05 info IKE The cookie pair is : 0xe3c8d4fb3626e771 / 0xfe93fd174d3d087a Y.Y.Y.Y:500 X.X.X.X:500 IKE_LOG 18 31.05.2022 13:05 info IKE [INIT] Send:[SAi1][KE][NONCE][NOTIFY][NOTIFY][VID][VID][VID][VID] X.X.X.X:500 Y.Y.Y.Y:500 IKE_LOG 19 31.05.2022 13:05 info IKE Tunnel[vpn:vpn_gate] Send IKEv2 request X.X.X.X:500 Y.Y.Y.Y:500 IKE_LOG 2031.05.2022 13:05infoIKEThe cookie pair is : 0xfe93fd174d3d087a / 0x0000000000000000 [count=2]X.X.X.X:500Y.Y.Y.Y:500IKE_LOG

Vinchy

Добрый день.

В логах только это.

IKE    IKE SA [vpn_gate] is disconnected    X.X.X.X:4500   Y.Y.Y.Y:4500
IKE    [AUTH] Recv:[IDr][CERT][AUTH][EAP]    Y.Y.Y.Y:4500    X.X.X.X:4500
IKE    The cookie pair is : 0xdd29ec8225706c0f / 0x23a056a97cf9196c    Y.Y.Y.Y:4500    X.X.X.X:4500
IKE    [AUTH] Send:[IDi][CERTREQ][SAi2][TSi][TSr][NOTIFY][NOTIFY][NOTIFY][NOTIFY]    X.X.X.X:4500    Y.Y.Y.Y:4500
IKE    The cookie pair is : 0x23a056a97cf9196c / 0xdd29ec8225706c0f [count=2]    X.X.X.X:4500    Y.Y.Y.Y:4500
IKE    [INIT] Recv:[SA][KE][NONCE][NOTIFY][NOTIFY][NOTIFY][NOTIFY]    Y.Y.Y.Y:500    X.X.X.X:500
IKE    The cookie pair is : 0xdd29ec8225706c0f / 0x23a056a97cf9196c    Y.Y.Y.Y:500    X.X.X.X:500
IKE    [INIT] Send:[SAi1][KE][NONCE][NOTIFY][NOTIFY][VID][VID][VID][VID]    X.X.X.X:500    Y.Y.Y.Y:500
IKE    Tunnel[vpn:vpn_gate] Send IKEv2 request    X.X.X.X:500    Y.Y.Y.Y:500
 IKE    The cookie pair is : 0x23a056a97cf9196c / 0x0000000000000000 [count=2]    X.X.X.X:500    Y.Y.Y.Y:500

IKE    IKE SA [vpn_gate] is disconnected    X.X.X.X:4500    Y.Y.Y.Y:450

настройка на стороне сервера Linux (используется strongswan)

ipsec.conf

config setup
    charondebug="ike 0, knl 0, cfg 0"
    uniqueids=no
conn %default
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftid=@vpn.xxxxx.xxxxx.club
    leftcert=server-cert.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightsourceip=172.27.0.0/16
    rightdns=8.8.8.8,8.8.4.4
    rightsendcert=never
    eap_identity=%identity
    authby=psk
    eap_identity=%identity
    esp=aes128-sha1,aes128-sha256,3des-sha1,3des-sha256,aes128-sha1-modp1024
    ike=aes128-sha1-modp1024,aes256-sha-modp1024

conn ikev2-vpn

# IKEv2
conn IPSec-IKEv2
    keyexchange=ikev2
    auto=add

# BlackBerry, Windows, Android
conn IPSec-IKEv2-EAP
    also="IPSec-IKEv2"

ipsec.secrets

: RSA "server-key.pem"
user : EAP "AdPIuhjg689uvkncvxZ9C5"

на стороне zywal

vpn-gate:

Interface: wan1

static address: vpn.xxxx.xxxx.club

сертификат User.p12

sa life time 86400

aes128 sha1

dh2

Client Mode:

username : user

password: AdPIuhjg689uvkncvxZ9C5

 

Vpn^

Remote access (Client role)

Local Policy: local_sub(Interface_ip 192.168.1.1)

Remote Policy: remote_sub: host (172.31.42.246)   (пробовался и внешний ip 18.x.x.x)

sa life time 28800

esp tunnel

aes128 sha1

pfs none

Zyxel_Andrew

Судя по настройкам VPN на Linux там реализован сценарий IKEv2 подключения c назначением IP адреса подключенному клиенту. В Zywall такой режим для роли клиента не поддерживается. 

Vinchy

Добрый день!.

Спасибо за ответ. А что бы Вы мне посоветовали? перенастроить zywall или настройки linux?

Спасибо!

Zyxel_Andrew

Здраствуйте.

Для построения туннеля будет необходимо изменить настройки и на linux и в zywall. Рекомендую настроить VPN IPsec туннель типа site-to-site (сеть-сеть) и в этом случае, если на стороне zywall вам будет нужен ip интерфейс, вы сможете сделать это через vti.

Vinchy

Добрый день!

Переделал настройки сервера ubuntu на aws и zywall. Коннекта все равно нет.

На стороне убунту в aws установил libreswan. настройки такие:

config setup
    protostack=netkey
conn vpn
    authby=secret
    pfs=no
    rekey=yes
    keyingtries=3
    type=tunnel
    auto=start
    ike=aes256-sha1;modp1536
    phase2alg=aes256-sha1;modp1536
    left=10.100.10.227 внутренний адрес убунты
    leftid=52.80.250.24 - внешний адрес убунты
    right=51.32.56.38 - внешний адрес zywall
    leftsubnet=1.1.1.1/32
    rightsubnet=192.168.11.1/32
    mark=5/0xffffffff
    vti-interface=vti01
    vti-routing=no

ipsec.secrets

52.80.250.24 51.32.56.38 : PSK "abigsecrets"

Настройки zywall

Vpn Gateway

Ikev2

Interface wan1

Peer gateway address

       static address 52.80.250.24

Preshared key

       abigsecrets

sa life time

       86600

   aes256 sha1

   dh5

vpn connection

 site-to-site

Policy

     local policy interface ip 192.168.1.1

     remote policy       host 1.1.1.1

SA life time

     esp tunnel

     aes256 sha1  dh5

    

что нужно исправить? буду благодарен за любую помощь

Спасибо!

Zyxel_Andrew

Обратите внимание на несовпадение настроек политик (локальной на Zywall и удаленной на linux).
 leftsubnet=1.1.1.1/32
    rightsubnet=192.168.11.1/32

Policy

     local policy interface ip 192.168.1.1

     remote policy       host 1.1.1.1

Vinchy

Добрый день!

Спасибо большое, все получилось!

Один вопрос еще. Если мне нужно настроить доступ из локальной сети к google.com так, чтобы подставлялся ip адрес linux сервера, достаточно будет настроить snat в настройках vpn соединения? если да, та конфигурация, которая у меня, подойдет для этого?

Спасибо за ответ!

Zyxel_Andrew

Здравствуйте!

Использование SNAT в туннеле позволит изменить адрес источника для пакетов отправленных в туннель, т.е. в linux они придут с другим ip источника. Если на zywall будет настроено, что трафик к google.com будет так же отправлен в туннель, то на linux должны быть правила маршрутизации (со своим SNAT) как его отправить дальше по назначению и тогда обращение к google будет уже с адреса linux вне зависимости от адреса источника в туннеле.