Estou configurando uma "sub-rede para VPN de sub-rede" entre dois servidores Centos 7 usando o libreswan.
Cada servidor tem dois nic como mostrado na imagem a seguir.
Eu permitiria comunicação segura entre as sub-redes 172.18.0.0/16 e 172.19.0.0/16 estabelecendo uma vpn usando a rede 172.17.0.0/16, mas tenho problemas para permitir o tráfego entre essas duas sub-redes.
Euseguiadocumentaçãooficialdoredhatem link
Na verdade, parei de usar o firewall em ambos os nós.
Eu verifiquei os pré-requisitos do ipsec:
[root@node2 ~]# ipsec verify
Verifying installed system and configuration files
Version check and ipsec on-path [OK]
Libreswan 3.8 (netkey) on 3.10.0-123.el7.x86_64
Checking for IPsec support in kernel [OK]
NETKEY: Testing XFRM related proc values
ICMP default/send_redirects [OK]
ICMP default/accept_redirects [OK]
XFRM larval drop [OK]
Pluto ipsec.conf syntax [OK]
Hardware random device [N/A]
Two or more interfaces found, checking IP forwarding [OK]
Checking rp_filter [OK]
Checking that pluto is running [OK]
Pluto listening for IKE on udp 500 [OK]
Pluto listening for IKE/NAT-T on udp 4500 [OK]
Pluto ipsec.secret syntax [OK]
Checking NAT and MASQUERADEing [TEST INCOMPLETE]
Checking 'ip' command [OK]
Checking 'iptables' command [OK]
Checking 'prelink' command does not interfere with FIPSChecking for obsolete ipsec.conf options [OK]
Opportunistic Encryption [DISABLED]
O conteúdo do ipsec.conf é:
config setup
protostack=netkey
conn mytunnel
leftid=@node1
left=172.17.0.101
leftrsasigkey=0sAQPXn...
rightid=@node2
right=172.17.0.102
rightrsasigkey=0sAQPxv...
authby=rsasig
conn mysubnet
also=mytunnel
leftsubnet=172.18.0.0/16
rightsubnet=172.19.0.0/16
auto=start
Eu inicio o serviço ipsec em ambos os nós. Então eu verifico que "status ipsec" (aqui está o link ) e não encontrei nenhum erro.
A tabela de roteamento do node1 é:
[root@node1 ~]# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
172.17.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eno16777736
172.18.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eno33554992
Se tentar pingar do node1 o endereço IP 172.19.0.101, obtenho o erro "connect: Network is unreachable"
Há algo faltando na minha configuração? O que eu posso tentar para permitir o tráfego seguro entre essas duas sub-redes?