J'essaie de me connecter à un Cisco ASA 5520. On m'a fourni des informations d'identification :
Phase1
VPN IP address (Public IP) | XXX.XXX.XXX.XXX
Authentication Method | Pre-Shared Secret
Encryption Schema | IKE
Perfect Forward Secrecy- IKE | DH Group-2
Encryption Algorithm | 3DES
Hashing Algorithm | SHA-1
Renegotiate IKE SA every | 86400 Sec
Phase2
IPSec | ESP
Perfect Forward Secrecy-IPSEC | NO PFS
Encryption Algorithm IPSec | 3DES
Hashing Algorithm IPSec | SHA-1
Renegotiate IPSec SA every | 3600 Sec
Private Network | 192.168.XXX.XXX/32De mon côté, j'ai compilé et installé Libreswan (3.27) sur un droplet DigitalOcean, avec le fichier public IP : YYY.YYY.YYY.YYY et d'un privé IP : 10.YYY.YYY.YYY/32 . J'ai essayé d'implémenter le VPN IPSec avec cette configuration :
conn the_vpn
ike=3des-sha1;modp1024,aes128-sha1;modp1024
auto=start
authby=secret
keyexchange=ike
phase2=esp
phase2alg=3des-sha1
left=XXX.XXX.XXX.XXX
leftsubnet=192.168.XXX.XXX/32
right=YYY.YYY.YYY.YYY
rightsubnet=10.YYY.YYY.YYY/32
ikelifetime=3600
type=tunnel
ikev2=neverEt j'ai autorisé udp sur le port 500 y 4500 sur mon serveur (Ubuntu 16.04). J'ai également noté la clé secrète dans /etc/ipsec.secrets . Mais à travers les logs, il semble que le handshake soit initialisé par le CISCO, mais de mon côté j'ai cette erreur :
packet from XXX.XXX.XXX.XXX:500 : initial Main Mode message received on YYY.YYY.YYY.YYY:500 but no connection has been authorized with policy PSK+IKEV1_ALLOW
Mes questions sont les suivantes :
1) Libreswan autorise-t-il toujours IKEV1 avec PSK partagé et groupe DH 2 ou a-t-il été déprécié et supprimé ?
2) mes configurations reflètent-elles l'autre côté ? Parce que, comme d'habitude, c'est moi qui dois me conformer à leur configuration, ils ne peuvent rien changer.
Nous vous remercions.
