Openswan conectando-se a várias sub-redes corretas que não funcionam

Question

Openswan conectando-se a várias sub-redes corretas que não funcionam

#1 resposta do (2 votos)
#2 resposta do (1 votos)
#3 resposta do (1 votos)
#4 resposta do (1 votos)
#5 resposta do (-3 votos)

13

Estou tentando usar o Openswan (versão 2.6.37) para conectar uma VPN IPsec da minha rede local a um site remoto. Tudo funciona bem quando eu quero apenas se conectar a uma única sub-rede no site remoto. No entanto, o site remoto também tem uma sub-rede extra que desejo acessar.

Esta é minha configuração:

conn myConn
        type=tunnel
        left=192.168.139.14
        leftsubnet=192.168.139.0/24
        leftxauthclient=yes
        right=X.X.X.X
        rightsubnet=172.16.1.0/24
        keyexchange=ike
        auth=esp
        authby=secret
        phase2alg=3des-sha1
        pfs=yes

Quando substituo rightsubnet por rightsubnets , assim:

rightsubnets={172.16.1.0/24 192.168.3.0/24}

... então a conexão é criada com sucesso, mas somente a última sub-rede da lista está disponível. Qualquer tentativa de pingar qualquer coisa na sub-rede 172.16.1.0 falhará. Se eu trocar a ordem das sub-redes, então eu posso pingar 172.16.1.X , mas não posso pingar nada na outra sub-rede. É como se o Openswan estivesse usando apenas a última sub-rede da lista para criar uma conexão.

Estou fazendo algo errado aqui?

Um pouco de informação extra que deixei de mencionar (embora não tenha certeza se é relevante): Meu cliente Openswan está atrás de um roteador usando NAT e eu tenho nat_traversal=yes no meu arquivo ipsec.conf .

networking vpn ipsec

por FixMaker 02.01.2013 / 16:50

5 respostas

Tags networking vpn ipsec

Destaque da sintaxe Bash das subpavas Ter o tmux esperando até o SSH entrar, para completar o restante do script do Tmuxinator

score 2 · Answer 1

Parece que o separador usual para as várias sub-redes é uma vírgula , mas pelo menos o openswan-2.6.32 também funciona com espaços.

Informações interessantes devem ser registradas em /var/log/secure , o que pode conter pistas sobre o motivo pelo qual ele não está funcionando. Poste também a saída de ip x s sh e ip x p sh .

score 1 · Answer 2

Crie a configuração da seção conn para cada sub-rede em ambos os pontos finais do túnel. Apenas um deles (o primeiro começou) iniciará uma negociação de SA, o segundo (ou mais) fará apenas um novo SPD das sub-redes adicionais.

score 1 · Answer 3

Se você usar rightsubnets , precisará usar leftsubnets , não leftsubnet . Mesmo se houver apenas uma sub-rede nesse lado. A página man do ipsec.conf não faz um ótimo trabalho explicando isso, mas está lá.

Eu tive problemas semelhantes durante meses e encontrei a resposta aqui: link

score 1 · Answer 4

Parece que há um bug no OpenSwan, onde a lista de sub-redes precisa de uma vírgula extra no final para funcionar corretamente. Experimente:

rightsubnets={172.16.1.0/24,192.168.3.0/24,}

Observe a vírgula extra no final.

score -3 · Answer 5

Deveria ser assim

rightsubnets={172.16.1.0/24,192.168.3.0/24}

Use uma vírgula ( , ) e não um espaço para separar entradas.