Como redirecionar o tráfego através do gateway IPSec IPv6 (strongswan)?

Question

Como redirecionar o tráfego através do gateway IPSec IPv6 (strongswan)?

#1 resposta do (0 votos)

1

Estou tentando configurar uma conexão segura IPSec com o gateway. Tem três hosts:

A:
eth1 - fec0:1::1/64

B:
eth1 - fec0:1::2/64
eth2 - fec0:2::2/64
which is gateway between A and C; forwarding is set to 1 in sysctl

C:
eth1 - fec0:2:3/64

Gostaria de construir uma conexão IPsec entre A e B, que será insegura encaminhada entre B e C.

ipsec.conf:

config setup
    charondebug="ike 2, knl 2, cfg 1"

ca strongswan
    cacert=ca.crt
    auto=add

conn %default
    ikelifetime=60m
    keylife=20m
    rekeymargin=3m
    keyingtries=1
    mobike=no
    keyexchange=ikev2

conn host-host
    left=fec0:1::1
    leftcert=hostA.crt
    leftid=@hostA
    right=fec0:1::2
    rightid=%any
    type=transport
    auto=add

A configuração de B parece semelhante. Tentei definir auto = route, mas não consigo inicializar nenhuma conexão.

Usando essa configuração, somente o tráfego endereçado a B é protegido. Quando tento enviar algo de A para C - é no caminho todo inseguro.

Alguma idéia de como resolvê-lo?

networking ipv6 ipsec linux-networking strongswan

por Daniel 25.04.2016 / 23:38

1 resposta

Tags networking ipv6 ipsec linux-networking strongswan

Como fazer backup e restaurar com o tar em uma configuração de invasão de software 10? servidor MySQL experimentando alta tensão / conexões máximas

score 0 · Accepted Answer

Using such configuration only traffic addressed to B is secured. When I try to send something from A to C - it is on the whole path insecured.

É exatamente assim que deveria ser. Você estabeleceu uma SA IPsec do modo de transporte entre A e B, o que significa que há diretivas IPsec que se aplicam somente ao tráfego entre esses dois hosts. Se você deseja proteger o tráfego entre A e C (no caminho entre A e B), é necessário usar o modo de encapsulamento e configurar os seletores / políticas de tráfego apropriados.

Adicione uma conexão adicional:

conn host-c
  also=host-host
  rightsubnet=fec0:2:3/128
  type=tunnel

Ou altere a conexão existente:

conn host-host # or host-hosts
  left=fec0:1::1
  leftcert=hostA.crt
  leftid=@hostA
  right=fec0:1::2
  rightid=%any
  rightsubnet=fec0:1::2/128,fec0:2:3/128
  type=tunnel
  auto=add

A configuração em B deve ser alterada de acordo.