Como configuro o roteamento para um túnel IPSEC entre Openswan e RouterOS?

2

Estou tentando criar uma VPN site a site entre um roteador Linux que executa openswan e shorewall (host A , servindo de sub-rede 10.10.0.0/16) e um MikroTek RouterBoard executando RouterOS 6.3 (host B , servindo 192.168.88.0/24).

O próprio túnel IPSEC parece estar ativo, o host A diz:

# service ipsec status
IPsec running  - pluto pid: 4292
pluto pid 4292
1 tunnels up
some eroutes exist

e:

#ipsec auto --status
<SNIP>
000 #2: "office-connect":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 27422s; newest IPSEC; eroute owner; isakmp#1; idle; import:admin initiate
000 #2: "office-connect" esp.65bcd1d@<REDACTED> esp.c8d18ebd@<REDACTED> tun.0@<REDACTED> tun.0@<REDACTED> ref=0 refhim=4294901761
000 #1: "office-connect":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 2348s; newest ISAKMP; lastdpd=72s(seq in:0 out:0); idle; import:admin initiate

enquanto estiver no host B :

/ip ipsec remote-peers print
 0 local-address=<REDACTED> remote-address=<REDACTED> state=established side=responder established=11m26s 

e:

/ip ipsec policy print
Flags: T - template, X - disabled, D - dynamic, I - inactive 
 0    src-address=192.168.88.0/24 src-port=any dst-address=10.10.0.0/16 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes 
      sa-src-address=<REDACTED> sa-dst-address=<REDACTED> proposal=Office-Connect priority=0

Eu segui as instruções do link para configurar shorewall e link para configurar uma regra de NAT Bypass.

No entanto, não consigo obter pacotes no túnel, em A :

# ping -c4 192.168.88.1
PING 192.168.88.1 (192.168.88.1) 56(84) bytes of data.

--- 192.168.88.1 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3016ms

em B :

/ping count=4 10.10.0.1
HOST                                     SIZE TTL TIME  STATUS                                                                                               
10.10.0.1                                               timeout                                                                                              
10.10.0.1                                               timeout                                                                                              
10.10.0.1                                               timeout                                                                                              
10.10.0.1                                               timeout                                                                                              
    sent=4 received=0 packet-loss=100% 

Estou com uma perda de como proceder, minha experiência em redes não é muito boa. Então eu seria útil para quaisquer dicas, até mesmo como depurar este problema. Terei prazer em fornecer amostras de configuração adicionais ou registrar a saída, se necessário. Muito obrigado!

    
por dorian 23.09.2013 / 14:26

1 resposta

3

Aqui está a solução se alguém mais tiver o mesmo problema ... O problema é que eu tenho outra configuração de VPN na caixa shorewall , que é uma configuração de guerreiro de estrada L2TP chamada vpn (o site-to-site VPN é chamada ovpn ) Então, meu arquivo /etc/shorewall/zones ficou assim:

#ZONE           TYPE            OPTIONS         IN                      OUT
#                                               OPTIONS                 OPTIONS
<SNIP>
vpn             ipsec
l2tp            ipv4
ovpn            ipv4

e meu /etc/shorewall/hosts assim:

#ZONE   HOST(S)                                 OPTIONS
vpn     eth0:0.0.0.0/0
ovpn    eth0:192.168.88.0/24,<REDACTED> ipsec

Acontece que a ordem das declarações de zona no arquivo de regiões é importante (mas não dentro do arquivo de hosts) - para cada conexão shorewall escolhe a primeira zona que corresponde. Como a vpn zone tem uma entrada hosts que corresponde a cada host remoto, todas as ovpn conexões seriam correspondidas pela vpn zone e, em seguida, roteadas para xl2tpd , o que obviamente não funcionou.

Então eu inverti as entradas de zona para vpn e ovpn , e tudo funcionou bem.

    
por 23.09.2013 / 18:16