Eu tenho batido minha cabeça contra isso por algum tempo, e estou esperando que alguém possa me apontar na direção certa.
Eu tenho um número de túneis IPSec estabelecidos, principalmente do libreswan (v3.23) no CentOS para Cisco ASAs. A maioria é IKE v1 e, nesse caso, se eu quiser alcançar vários hosts no lado remoto, posso ter uma formulação como essa no arquivo .conf:
conn test1
rightsubnet=192.168.1.111/255.255.255.255
rightsourceip=192.168.1.111
also=test_common
auto=start
conn test2
rightsubnet=192.168.1.112/255.255.255.255
rightsourceip=192.168.1.112
also=test_common
auto=start
No entanto, se eu usar essa sintaxe com IKEv2 (ikev2 = insistir), posso iniciar o test1 e alcançar 192.168.1.111, mas o test2 não será concluído; ou posso iniciar o test2 e o test1 não funcionará.
A minha pergunta é: qual a sintaxe que me permitirá estabelecer um túnel IKEv2 que me permita alcançar os 192.168.1.111 & 192.168.1.112?
Eu tentei usar:
conn test
rightsubnet=192.168.1.96/27
leftsubnet=192.168.2.2/32
also=test_common
auto=start
Essa formulação me leva ao ponto em que vejo "STATE_PARENT_I2: enviado v2I2, esperado v2R2", mas tudo que eu obtenho é "STATE_PARENT_I2: retransmission".
Da mesma forma, tentei:
conn test
rightsubnets=192.168.1.111/32,192.168.1.112/32
leftsubnet=192.168.2.2/32
also=test_common
auto=start
O uso da diretiva rightsubnets faz com que a conexão não seja iniciada, mesmo se um único intervalo for especificado.
Se alguém puder me apontar na direção certa, eu ficaria grato.
Edit: Eu descobri que posso usar a diretiva rightsubnets; no entanto, apenas iniciará o primeiro túnel. A sintaxe que funciona é:
rightsubnets={192.168.1.111/32 192.168.1.112/32}
Neste exemplo, 192.168.1.111 é alcançável, mas o segundo endereço chega a "STATE_V2_CREATE_I: enviado IPsec Child req wait response" e nunca é concluído.