■ EPOLを使う設定にする。
sudo amazon-linux-extras install -y epel
■sudo yum install strongswan
-yオプションつけなかったのはなんかあるかなー?って意味で。
■ swanctlを使う設定にする。
/etc/strongswan/strongswan.d/charon.confに以下記述
これしないと、swanctl実行時に色々文句言われる。
charon {
(省略)
start-scripts {
swanctl = /usr/sbin/swanctl -q
}
(省略)
}
■ うっかり忘れてたが yum update -y
■/etc/strongswan/swanctl/conf.d に swanctl.conf形式で書く。
たとえば、nexa-vpn
connections {
koba-vpn {
version = 2
local_addrs = 24RR:XXXX:YYYY:ZZZZ::1feb
remote_addrs = 2409:XXXX:YYYY:ZZZZ::100f
proposals = aes256-sha256-modp2048,default
local {
auth = psk
id = 24RR:XXXX:YYYY:ZZZZ::1feb
}
remote {
id = 2409:XXXX:YYYY:ZZZZ::100f
auth = psk
}
children {
koba-vpn {
esp_proposals = aes256-sha256-modp2048,default
local_ts = 172.16.XXX.0/24
remote_ts = 192.168.YYY.0/24
mode = tunnel
start_action = start
close_action = start
}
}
}
}
secrets {
ike-1 {
id = 24RR:XXXX:YYYY:ZZZZ::1feb
secret = "pre-shared-key"
}
}
■YAMAHA側のVPN設定
tunnel select 10
ipsec tunnel 10
ipsec sa policy 10 10 esp aes256-cbc sha256-hmac
ipsec ike version 10 2
ipsec ike always-on 10 on
ipsec ike encryption 10 aes256-cbc
ipsec ike group 10 modp2048
ipsec ike hash 10 sha256
ipsec ike keepalive log 10 off
ipsec ike keepalive use 10 on rfc4306
ipsec ike local address 10 2409:XXXX:YYYY:ZZZZ::100f
ipsec ike local name 10 2409:XXXX:YYYY:ZZZZ::100f ipv6-addr
ipsec ike nat-traversal 10 on
ipsec ike pre-shared-key 10 text pre-shared-key
ipsec ike remote address 10 24RR:XXXX:YYYY:ZZZZ::1feb
ipsec ike remote name 10 24RR:XXXX:YYYY:ZZZZ::1feb ipv6-addr
ipsec ike negotiation receive 10 off
ip tunnel mtu 1300
ip tunnel tcp mss limit 1240
tunnel enable 10
■Linuxのネットワークインターフェイスにv4転送機能を有効にする。
echo "net.ipv4.ip_forward = 1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
■sudo systemctl start strongswan ※起動させる
■sudo systemctl enable strongswan ※Linuxを再起動させても自動起動するようにする。
Created symlink from /etc/systemd/system/multiuser.target.wants/strongswan.service to /usr/lib/systemd/system/strongswan.service.
※おそらく自動起動が作成されたメッセージ
■nexa-vpnと書いたが、あれはだめだ。
ちゃんとnexa-vpn.confにしないと、正常に読み込めない仕様になっている。
でも中途半端に読み込んでいるせいで、
logでは接続しに行く様が見える。
おそらくsecrets以下が見に行けないらしい。
ちゃんと拡張子つけよう。
これで正常に接続できるようになった。
■セカンダリIPv4アドレスを設定する。
sudo yum install ec2-net-utils
これをやらないとIPがゲットできない。
■ネットワークインターフェイスを再起動させて取得する。
sudo service network restart
これでip aを見てみると追加したアドレスが取得できているぞ。
ちなみに、IPv6の場合は、raで取得しているせいか、コンソール上で追加した瞬間に登録されていた。
こういう挙動の違いが難しいなぁ。
ほぼこれで完了。後で作り直す。
ログインしてコメントを確認・投稿する