Próbuję użyć openswan (wersja 2.6.37), aby połączyć VPN IPsec z mojej sieci lokalnej do strony zdalnej. Wszystko działa dobrze, gdy chcę tylko połączyć się z jedną podsiecią na zdalnej stronie. Jednak zdalna witryna ma również dodatkową podsieć, do której chcę uzyskać dostęp.
Oto moja konfiguracja:
conn myConn
type=tunnel
left=192.168.139.14
leftsubnet=192.168.139.0/24
leftxauthclient=yes
right=X.X.X.X
rightsubnet=172.16.1.0/24
keyexchange=ike
auth=esp
authby=secret
phase2alg=3des-sha1
pfs=yes
Kiedy wymienić rightsubnet
z rightsubnets
, tak jak poniżej:
rightsubnets={172.16.1.0/24 192.168.3.0/24}
... połączenie zostanie pomyślnie utworzone, ale dostępna będzie tylko ostatnia podsieć na liście. Wszelkie próby pingowania czegokolwiek w 172.16.1.0
podsieci kończą się niepowodzeniem. Jeśli zamienię kolejność podsieci, mogę pingować, 172.16.1.X
ale nie mogę pingować niczego w drugiej podsieci. To tak, jakby openswan używa tylko ostatniej podsieci na liście do utworzenia połączenia.
Czy robię tu coś złego?
Trochę dodatkowych informacji, których nie wspomniałem (chociaż nie jestem pewien, czy są one istotne): Mój klient openswan stoi za routerem korzystającym z NAT i mam go nat_traversal=yes
w swoim ipsec.conf
pliku.
źródło
connection myConn2
), wszystko było identyczne z wyjątkiemrightsubnet
. Kiedy używamipsec auto --up myConn
, mogę pingować 172.168.1.X. Kiedy próbuję nawiązać drugie połączenie (ipsec auto --up myConn2
), mogę pingować 192.168.3.X, ale pierwsze połączenie całkowicie zanika.vpnc
!Odpowiedzi:
Wygląda na to, że zwykłym separatorem dla wielu podsieci jest przecinek , ale przynajmniej openswan-2.6.32 działa również ze spacjami.
Należy zalogować się do interesujących informacji,
/var/log/secure
które mogą zawierać wskazówki, dlaczego nie działa. Opublikuj również dane wyjścioweip x s sh
iip x p sh
.źródło
rightsubnet*s*
) zamiast liczby pojedynczej.Wykonaj
conn
konfigurację sekcji dla każdej podsieci ZARÓWNO w punktach końcowych tunelu. Tylko jedna z nich (pierwsza rozpoczęta) rozpocznie negocjację SA, druga (lub więcej) utworzy tylko SPD kolejnych podsieci.źródło
Jeśli używasz,
rightsubnets
musisz również używaćleftsubnets
, nieleftsubnet
. Nawet jeśli po tej stronie jest tylko jedna podsieć. Strona podręcznika ipsec.conf nie radzi sobie z tym dobrze, ale już tam jest.Miałem podobne problemy od miesięcy i właśnie znalazłem odpowiedź tutaj: /server/571352/openswan-multiple-subnets-routing-issue
źródło
Wygląda na to, że w OpenSwan jest błąd, w którym lista podsieci wymaga dodatkowego przecinka na końcu, aby działać poprawnie. Próbować:
Zwróć uwagę na dodatkowy przecinek na końcu.
źródło
Tak powinno być
,
Do oddzielania wpisów użyj przecinka ( ), a nie spacji.źródło