Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 13-01-2021 11:06:24

spawn63
Membre
Inscription : 28-05-2020

debian stretch strongswan IPsec sor une erreur error writing to socket

Bonjour je cherche à créer un tunnel vpn site to site je vous présente ma config:

Fichier /etc/ipsec.conf du site A:

include /var/lib/strongswan/ipsec.conf.inc
        charondebug="all"
        uniqueids=yes
conn A-to-B
        type=tunnel
        auto=start
        keyexchange=ikev2
        authby=secret
        left=Ip public du site A
        leftsubnet=192.168.101.0/28  # sous réseau site A
        right=Ip public du site B
        rightsubnet=192.168.1.0/24  # sous réseau site B
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!
        aggressive=no
        keyingtries=%forever
        ikelifetime=28800s
        lifetime=3600s
        dpddelay=30s
        dpdtimeout=120s
        dpdaction=restart
 




fichier /etc/ipsec.conf site B:

        charondebug= "all"
        uniqueids=yes
conn B-to-A
        type=tunnel
        auto=start
        keyexchange=ikev2
        authby=secret
        left=IP public du site B
        leftsubnet=192.168.1.0/24
        right=IP public du site A
        rightsubnet=192.168.101.0/28
        ike=aes256-sha1-modp1024!
        esp=aes256-sha1!
        aggressive=no
        keyingtries=%forever
        ikelifetime=28800s
        lifetime=3600s
        dpddelay=30s
        dpdtimeout=120s
 




fichier /etc/ipsec.secrets du site A:

IP public site site A  IP public site site B :PSK "clé "
 




fichier /etc/ipsec.secrets du site B:

IP public site site B  IP public site site A :PSK "clé "





mon fichier /etc/strongswan.conf présent des deux cotés!

# strongswan.conf - strongSwan configuration file
#
# Refer to the strongswan.conf(5) manpage for details
#
# Configuration changes should be made in the included files

charon {
        load_modular = yes
        plugins {
                include strongswan.d/charon/*.conf
        }
}

include strongswan.d/*.conf
 





lorsque je fait un ipsec status sur les deux site le retour est celui ci avec bien sur les identifiant qui s'inverse lorsque je lance la commande sur l'autre machine du site B site:
Security Associations (0 up, 1 connecting):
A-to-B[1]: CONNECTING, IP site A[%any]...IP site B[%any]

en faisant un tail - f /var/log/syslog la sortie sur les deux site est celle-ci:

Jan 13 09:58:58 ip-192-168-101-12 dhclient[381]: XMT: Solicit on eth0, interval 113380ms.
Jan 13 09:59:17 ip-192-168-101-12 charon: 12[IKE] retransmit 4 of request with message ID 0
Jan 13 09:59:17 ip-192-168-101-12 charon: 12[NET] sending packet: from IP site A[500] to IP site B[500] (336 bytes)
Jan 13 09:59:17 ip-192-168-101-12 charon: 04[NET] error writing to socket: Invalid argument
Jan 13 09:59:59 ip-192-168-101-12 charon: 13[IKE] retransmit 5 of request with message ID 0
Jan 13 09:59:59 ip-192-168-101-12 charon: 13[NET] sending packet: from IP site A[500] to IP site B[500] (336 bytes)
Jan 13 09:59:59 ip-192-168-101-12 charon: 04[NET] error writing to socket: Invalid argument
 




Je ne comprend pas trop pourquoi le tunnel ne se créer pas les erreur me font penser à des  requêtes qui serait bloqué, savez vous comment faire pour solutionner cette erreur, et faire que mon tunnel soit fonctionnel?

Merci par avance pour vos intervention wink

Dernière modification par spawn63 (13-01-2021 11:09:49)

Hors ligne

#2 13-01-2021 11:24:43

raleur
Membre
Inscription : 03-10-2014

Re : debian stretch strongswan IPsec sor une erreur error writing to socket

Est-ce que la socket UDP entre les ports 500 des deux adresses est visible avec netstat ou ss ?
Est-ce qu'il y a du filtrage avec iptables ou nftables ? Si oui, les règles autorisent-elle les paquets UDP depuis et vers le port 500 en entrée et en sortie ?

Il vaut mieux montrer que raconter.

Hors ligne

#3 13-01-2021 13:20:15

spawn63
Membre
Inscription : 28-05-2020

Re : debian stretch strongswan IPsec sor une erreur error writing to socket

Ok et tu sais dire BONJOUR

Non tu sais pas être poli ???

Par ce que être un  Raleur c'est une chose mais ne pas avoir de savoir être en est une autre !

Un peut d'humain te ferais du bien à toi non?

Dernière modification par spawn63 (15-01-2021 07:55:58)

Hors ligne

Pied de page des forums