Openswan conectando-se a várias sub-redes corretas que não funcionam

13

Estou tentando usar o Openswan (versão 2.6.37) para conectar uma VPN IPsec da minha rede local a um site remoto. Tudo funciona bem quando eu quero apenas se conectar a uma única sub-rede no site remoto. No entanto, o site remoto também tem uma sub-rede extra que desejo acessar.

Esta é minha configuração:

conn myConn
        type=tunnel
        left=192.168.139.14
        leftsubnet=192.168.139.0/24
        leftxauthclient=yes
        right=X.X.X.X
        rightsubnet=172.16.1.0/24
        keyexchange=ike
        auth=esp
        authby=secret
        phase2alg=3des-sha1
        pfs=yes

Quando substituo rightsubnet por rightsubnets , assim:

rightsubnets={172.16.1.0/24 192.168.3.0/24}

... então a conexão é criada com sucesso, mas somente a última sub-rede da lista está disponível. Qualquer tentativa de pingar qualquer coisa na sub-rede 172.16.1.0 falhará. Se eu trocar a ordem das sub-redes, então eu posso pingar 172.16.1.X , mas não posso pingar nada na outra sub-rede. É como se o Openswan estivesse usando apenas a última sub-rede da lista para criar uma conexão.

Estou fazendo algo errado aqui?

Um pouco de informação extra que deixei de mencionar (embora não tenha certeza se é relevante): Meu cliente Openswan está atrás de um roteador usando NAT e eu tenho nat_traversal=yes no meu arquivo ipsec.conf .

    
por FixMaker 02.01.2013 / 16:50

5 respostas

2

Parece que o separador usual para as várias sub-redes é uma vírgula , mas pelo menos o openswan-2.6.32 também funciona com espaços.

Informações interessantes devem ser registradas em /var/log/secure , o que pode conter pistas sobre o motivo pelo qual ele não está funcionando. Poste também a saída de ip x s sh e ip x p sh .

    
por 11.05.2013 / 08:58
1

Crie a configuração da seção conn para cada sub-rede em ambos os pontos finais do túnel. Apenas um deles (o primeiro começou) iniciará uma negociação de SA, o segundo (ou mais) fará apenas um novo SPD das sub-redes adicionais.

    
por 30.01.2013 / 16:55
1

Se você usar rightsubnets , precisará usar leftsubnets , não leftsubnet . Mesmo se houver apenas uma sub-rede nesse lado. A página man do ipsec.conf não faz um ótimo trabalho explicando isso, mas está lá.

Eu tive problemas semelhantes durante meses e encontrei a resposta aqui: link

    
por 16.06.2015 / 18:48
1

Parece que há um bug no OpenSwan, onde a lista de sub-redes precisa de uma vírgula extra no final para funcionar corretamente. Experimente:

rightsubnets={172.16.1.0/24,192.168.3.0/24,}

Observe a vírgula extra no final.

    
por 03.09.2015 / 02:38
-3

Deveria ser assim

rightsubnets={172.16.1.0/24,192.168.3.0/24}

Use uma vírgula ( , ) e não um espaço para separar entradas.

    
por 15.05.2015 / 10:07