VPN터널이 Up되지 않습니다.
730
작성한 질문수 1
[root@ip-10-4-1-112 log]# service ipsec status
Redirecting to /bin/systemctl status ipsec.service
● ipsec.service - Internet Key Exchange (IKE) Protocol Daemon for IPsec
Loaded: loaded (/usr/lib/systemd/system/ipsec.service; enabled; vendor preset: disabled)
Active: active (running) since Sun 2022-07-31 06:39:52 UTC; 2s ago
Docs: man:ipsec(8)
man:pluto(8)
man:ipsec.conf(5)
Process: 7837 ExecStopPost=/usr/sbin/ipsec --stopnflog (code=exited, status=0/SUCCESS)
Process: 7834 ExecStopPost=/sbin/ip xfrm state flush (code=exited, status=0/SUCCESS)
Process: 7832 ExecStopPost=/sbin/ip xfrm policy flush (code=exited, status=0/SUCCESS)
Process: 7830 ExecStop=/usr/libexec/ipsec/whack --shutdown (code=exited, status=0/SUCCESS)
Process: 8092 ExecStartPre=/usr/sbin/ipsec --checknflog (code=exited, status=0/SUCCESS)
Process: 8089 ExecStartPre=/usr/sbin/ipsec --checknss (code=exited, status=0/SUCCESS)
Process: 7849 ExecStartPre=/usr/libexec/ipsec/_stackmanager start (code=exited, status=0/SUCCESS)
Process: 7845 ExecStartPre=/usr/libexec/ipsec/addconn --config /etc/ipsec.conf --checkconfig (code=exited, status=0/SUCCESS)
Main PID: 8105 (pluto)
Status: "Startup completed."
CGroup: /system.slice/ipsec.service
└─8105 /usr/libexec/ipsec/pluto --leak-detective --config /etc/ipsec.conf --nofork
Jul 31 06:39:52 ip-10-4-1-112.ap-northeast-1.compute.internal pluto[8105]: adding interface lo/lo ::1:500
Jul 31 06:39:52 ip-10-4-1-112.ap-northeast-1.compute.internal pluto[8105]: | setup callback for interface lo:500 fd 19
Jul 31 06:39:52 ip-10-4-1-112.ap-northeast-1.compute.internal pluto[8105]: | setup callback for interface lo:4500 fd 18
Jul 31 06:39:52 ip-10-4-1-112.ap-northeast-1.compute.internal pluto[8105]: | setup callback for interface lo:500 fd 17
Jul 31 06:39:52 ip-10-4-1-112.ap-northeast-1.compute.internal pluto[8105]: | setup callback for interface eth0:4500 fd 16
Jul 31 06:39:52 ip-10-4-1-112.ap-northeast-1.compute.internal pluto[8105]: | setup callback for interface eth0:500 fd 15
Jul 31 06:39:52 ip-10-4-1-112.ap-northeast-1.compute.internal pluto[8105]: loading secrets from "/etc/ipsec.secrets"
Jul 31 06:39:52 ip-10-4-1-112.ap-northeast-1.compute.internal pluto[8105]: loading secrets from "/etc/ipsec.d/aws.secrets"
Jul 31 06:39:52 ip-10-4-1-112.ap-northeast-1.compute.internal pluto[8105]: initiating all conns with alias='Tunnel1'
Jul 31 06:39:52 ip-10-4-1-112.ap-northeast-1.compute.internal pluto[8105]: initiating all conns with alias='Tunnel2'
답변 1
0
문제가 해결되어 공유드립니다.
/etc/ipsec.conf에서 pluto 디버그 모드를 실행하고 /var/log/openswan.log를 확인하니 아래와 같은 로그가 있었습니다.
Error: Failed to add connection "Tunnel1", esp="aes128-sha1;modp1024" is invalid: ESP encryption algorithm 'aes' is not supported.
위 로그를 검색해보니 유사한 사례가 있어서서 /etc/ipsec.d/aws.conf 의 phase2alg를 아래와 같이 수정하니 정상적으로 터널이 연결 되었습니다.
phase2alg=aes_gcm
0
안녕하세요 안데스라마님,
동일한 방법으로 phase2alg를 수정하여 문제를 해결하였는데, 해결 방법을 먼저 공유해주셔서 대단히 감사드립니다. :)
aws와 openswan이 업데이트 되는 과정에서 발생한 문제로 추측되는데 자세한 내용을 찾게 되면 이 답변에 이어서 공유드리겠습니다.
llm_decision_logs 저장 실패(실적 컬럼 불일치)를 어떻게 해결할까요?
0
21
0
파일 다운로드 오류
0
25
3
클라우드 프론트 멀티 오리진의 의미가 정확히 무엇인가요?
0
25
2
33강 14번 질문 있습니다.
0
33
1
수업 자료 사이트가 또 바뀌었을까요?
0
27
1
수강 기간 연장 문의
0
55
2
aws 관련 질문드립니다.
1
53
3
환경변수 기반 업비트 API 키 가져오기에서 none이 나옵니다ㅠㅠ
0
50
2
수강기한 연장 부탁드립니다.
0
53
2
강의자료와 강의 내용의 차이
0
57
2
수강 연장 부탁드립니다.
0
56
2
kaggle notebook에 service key 설정이 누락된 것 같습니다
1
52
2
라우트테이블문의
0
264
1
타 강의도 듣고 싶습니다. 문의 드립니다.
0
230
1
cloudformation 확인시
0
879
2
Openswan 및 Site-to-Site VPN 관련부분에서 overlapip 사용 없이 하는 방법은 어떻게 되나요 ?
0
392
2
ping 관련해서 질문드립니다.
0
384
3
6:23 초 부근 질문 드립니다.
0
289
3
nat gateway 과금 관련 문의
0
241
1
attachment routes 삭제시
0
184
1
peering 연결시 cidr
0
225
1
가용영역이 다르면 어떻게 되나요?
0
1089
2
route tables 관련문의
0
234
1
서브넷 CIDR 설정
0
265
1





