私のLinuxシステムでXauth IPsecを設定しようとしています。このIPsecサーバーはNATの背後にあります。
私の目標は、両方のタイプのユーザーがパスワードとPSKを使用して認証できるようにすることです。
最初のグループ(一般ユーザー)はサーバーLANの特定のIPにのみアクセスでき、2番目のグループ(上級ユーザー)はLAN全体にアクセスできる必要があります(ただし、両方のグループはデフォルトゲートウェイにアクセスできる必要があります) )。構成のこの部分は私には少し明確に見えますが(ファイアウォール構成に関するものです)、単に概要を提供するためのものです。
したがって、各グループに特定のサブネット/アドレスプールを割り当てたいと思います。
╔══════════╦══════════════════════════════╦═════════════════════════════╦════════════════╗
║ Class ║ Virtual IP Range ║ Allowed LAN Access ║ Common Names ║
╠══════════╬══════════════════════════════╬═════════════════════════════╬════════════════╣
║ Regular ║ 192.168.43.10-192.168.43.250 ║ Custom service at 10.66.4.4 ║ Custom service ║
║ Advanced ║ 192.168.42.10-192.168.42.250 ║ Entire 10.66.4.0/24 subnet ║ Advanced ║
╚══════════╩══════════════════════════════╩═════════════════════════════╩════════════════╝
10.66.4.0/24が私のLANであるとしましょう。
IPsecを設定する方法は次のとおりです。
version 2.0
config setup
virtual-private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v4:!192.168.42.0/24,%v4:!192.168.43.0/24
protostack=netkey
interfaces=%defaultroute
uniqueids=no
conn shared
left=%defaultroute
leftid=raspberrypi
right=%any
encapsulation=yes
authby=secret
pfs=no
rekey=no
keyingtries=5
dpddelay=30
dpdtimeout=120
dpdaction=clear
ikev2=never
ike=aes256-sha512;modp8192,aes256-sha512;modp4096,aes256-sha512;modp2048
phase2alg=aes_gcm-null,aes256-sha512,aes256-sha2
sha2-truncbug=no
conn xauth-psk-1
auto=add
leftsubnet= 10.66.4.0/24
rightaddresspool=192.168.43.10-192.168.43.250
modecfgdns="10.66.4.1"
leftxauthserver=yes
rightxauthclient=yes
leftmodecfgserver=yes
rightmodecfgclient=yes
modecfgpull=yes
xauthby=file
ike-frag=yes
cisco-unity=yes
also=shared
conn xauth-psk-2
auto=add
leftsubnet= 10.66.4.0/24
rightaddresspool=192.168.42.10-192.168.42.250
modecfgdns="10.66.4.1"
leftxauthserver=yes
rightxauthclient=yes
leftmodecfgserver=yes
rightmodecfgclient=yes
modecfgpull=yes
xauthby=file
ike-frag=yes
cisco-unity=yes
also=shared
ファイルに2人のユーザーを追加しました/etc/ipsec.d/passwd。
user1:$1$gGFrE5Sz$BqPBohuaLhHoVr7cQjd/C0:xauth-psk-1
user2:$1$gGFrE5Sz$BqPBohuaLhHoVr7cQjd/C0:xauth-psk-2
それはよく認証されていますuser1。ただし、次のアカウントでログインしようとするとuser2認証が失敗します。
"xauth-psk-1"[6] 10.66.4.23 #9: XAUTH: User <unknown>: Authentication Failed (retry 1)
明らかに間違った接続名を選択しました。
正しく設定するにはどうすればよいですか?