Ipsec (strongswan) *** 无法与 ubuntu 19.04 作为客户端正常工作?

Posted

技术标签:

【中文标题】Ipsec (strongswan) *** 无法与 ubuntu 19.04 作为客户端正常工作?【英文标题】:Ipsec (strongswan) *** not working properly with ubuntu 19.04 as client? 【发布时间】:2020-04-02 16:35:44 【问题描述】:

我已经按照本教程使用 strongswan 构建了一个 *** 服务器: https://raymii.org/s/tutorials/IPSEC_***_with_CentOS_7.html

服务器位于转发所需端口的路由器后面。在 *** 服务器上有一些应用在 nginx 和 java 上运行,所以我使用 dnsmasq 将一些域名转发到同一台服务器。

服务器 ipsec.conf 是:

# ipsec.conf - strongSwan IPsec configuration file

config setup
    charondebug="ike 4, knl 4, cfg 4, net 4, esp 4, dmn 4,  mgr 4"

conn %default
    keyexchange=ikev2
    ike=aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-sha256-ecp256,aes128-sha256-modp1024,aes128-sha256-modp1536,aes128-sha256-modp2048,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1$
    esp=aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1,aes128-sha1-modp1024,aes128-sha1-modp1536,aes128-sha1-modp2048,aes128-sha256,aes128-sha256-ecp256,aes128-sha256-modp1024,aes128-sha256-mo$
    dpdaction=clear
    dpddelay=300s
    rekey=no
    left=%any
    leftsubnet=0.0.0.0/0,::/0
    leftcert=***HostCert.der
    right=%any
    rightsourceip=10.1.1.0/24
    rightdns=192.169.1.100 #*** servers local ipaddress

conn IPSec-IKEv2
    keyexchange=ikev2
    auto=add

conn IPSec-IKEv2-EAP
    keyexchange=ikev2
    rightauth=eap-tls
    rightsendcert=never
    eap_identity=%any
    auto=add

conn CiscoIPSec
    keyexchange=ikev1
    rightauth=pubkey
    rightauth2=xauth
    auto=add

问题是当我使用 ubuntu 19.04 连接到 *** 服务器时,/etc/resolve.conf 文件没有更新。而且我的流量没有正确路由。我每次都需要手动编辑它才能使用 ***。 如果我连接或断开连接,则将文件更改解析为:

# Generated by NetworkManager
nameserver 127.0.0.53

如果我手动将其更改为:

# Generated by NetworkManager
nameserver 127.0.0.100

一切正常。

在 Windows 10 和 android(使用 strongswan 应用程序)上运行良好,无需任何修补。

这是ubuntu的问题,还是我的配置错误。我可以解决这个问题,它会自动更新吗?

【问题讨论】:

【参考方案1】:

不知道你是否想通了,但我有一个解决方案。 我遇到了同样的问题,这是 Ubuntu 处理 DNS 解析的事实。

要修复它,我必须禁用 systemd-resolved 并使用默认的 dns 系统。所以:

1 - sudo systemctl disable systemd-resolved
2 - sudo systemctl stop systemd-resolved

3 - nano /etc/NetworkManager/NetworkManager.conf
    [main] #add following line
    dns=default

4 - rm /etc/resolv.conf
5 - reboot

希望对你有帮助

【讨论】:

以上是关于Ipsec (strongswan) *** 无法与 ubuntu 19.04 作为客户端正常工作?的主要内容,如果未能解决你的问题,请参考以下文章

strongswan 配置文件 /etc/ipsec.conf 速查手册1

腾讯云CentOS服务器安装StrongSwan与Juniper防火墙搭建Ipsec***

CentOS 怎么让 Strongswan IPSec 开机自动启动

CentOS 怎么让 Strongswan IPSec 开机自动启动

CentOS7.3 下 ipsec

strongswan怎么获取策略