strongswan: sub-rede inteiramente virtual [fechada]

4

Recentemente, configurei uma VPN IPSec robusta para acessar alguns serviços não públicos do meu servidor doméstico a partir do meu smartphone Android. Estou usando o OpenVPN em alguns outros dispositivos para a mesma tarefa, mas escolhi o strongswan para o telefone, já que o IKEv2 é suposto (corrija-me se estiver errado) para ser muito amigável em dispositivos móveis.

A configuração atual (openvpn) consiste em um servidor (virtual ip: 10.0.0.2) e vários clientes (todos na sub-rede 10.0.0.0/24). As rotas em todas as partes são configuradas para rotear somente pacotes através da vpn, que são dedicados a esta sub-rede. (Eu não quero acessar a sub-rede local do meu servidor de um cliente e também não quero rotear todo o tráfego dos meus clientes através do servidor)

Agora eu meio que consegui fazer as coisas com strongswan (servidor: 5.0.4, client: official strongswan android app 1.3.0), mas ainda não estou completamente lá. Primeiro de tudo, a configuração do servidor:

config setup

conn %default
  keyexchange=ikev2

conn android
  left=%any
  leftauth=pubkey
  leftcert=serverCert.pem
  leftid=vpn.mydomain.com
  leftsourceip=10.10.10.128
  leftfirewall=yes
  right=%any
  rightsourceip=10.10.10.0/24
  rightauth=pubkey
  rightcert=clientCert_mymobilephone.pem
  rightauth2=eap-mschapv2
  auto=start

Isso atribui o IP 10.10.10.1 ao meu telefone, mas nenhum IP ao servidor em nenhum dos seus interfaces, o que seria o que eu quero. Ainda posso acessar meu servidor através da VPN usando seu IP local (192.168.1.2), que não é exatamente o que eu pretendia;)

Eu gostaria de migrar todos os clientes (principalmente notebooks) do OpenVPN para o strongswan, mas o problema acima me impede de fazer a troca. Eu tentei várias configurações diferentes de strongswan, mas nenhuma poderia corresponder à minha configuração do OpenVPN. Isso é possível, se sim, como?

    
por Fabian Henze 28.07.2013 / 18:35

1 resposta

5

Observe que, ao contrário do OpenVPN, StrongSWAN não se destina a ser usado dessa maneira - ele não cria interfaces virtuais e não atribui endereços IP virtuais a ambos os lados do túnel. O que você definitivamente poderia fazer é adicionar o endereço 10.0.0.2 a uma de suas interfaces no lado do servidor

ip addr add 10.0.0.2/32 dev eth0

e adicionando a diretiva "leftsubnet" apropriada à sua configuração, para que ela faça parte da troca IPSEC Phase 2. Escusado será dizer que você precisaria estar usando ESP com tunelamento, neste caso.

    
por 28.07.2013 / 18:48