Strongswan: várias sub-redes certas

6

Eu tenho uma instalação do Strongswan no CentOS7 conectando-se a um roteador Palo Alto. Eu não tenho acesso à configuração no roteador remoto. Eu quero configurar duas sub-redes no outro lado - um é apenas um único IP. Eu tenho essa configuração no ipsec.conf:

conn %default
        keyexchange=ikev2
        authby=secret

conn net-net
        ike=aes256-sha512-modp2048!
        leftauth=psk
        left=xx.xx.xx.xx
        leftsubnet=10.255.1.0/24
        leftfirewall=yes
        rightauth=psk
        right=yy.yy.yy.yy
        auto=add
        rightsubnet=10.250.72.0/24,192.168.149.199/32

Depois de iniciar o túnel, só posso pingar 192.168.149.199, mas nenhum host em 10.250.72.0/24. Se eu configurar apenas a sub-rede 10.250.72.0/24, o ping funcionará nela.

Minha versão:

[root@ipsec01 strongswan]# strongswan --version
Linux strongSwan U5.4.0/K3.10.0-514.6.1.el7.x86_64

De acordo com o manual, a notação separada por vírgula deve estar correta. Qual configuração devo usar?

    
por Peter 15.03.2017 / 19:58

1 resposta

5

According to the manual, the comma separated notation should be correct...

É se o outro par suportar várias sub-redes por CHILD_SA. É possível que esse não seja o caso aqui. Em caso afirmativo, você teria que definir várias seções conn para iniciar CHILD_SAs separados:

conn %default
        keyexchange=ikev2
        authby=secret

conn net-net
        ike=aes256-sha512-modp2048!
        leftauth=psk
        left=xx.xx.xx.xx
        leftsubnet=10.255.1.0/24
        leftfirewall=yes
        rightauth=psk
        right=yy.yy.yy.yy
        auto=add
        rightsubnet=10.250.72.0/24

conn net-host
        also=net-net
        rightsubnet=192.168.149.199/32

A "strongswan up net-net" succeeds, but after that a "strongswan up net-host" fails with "received INVALID_SYNTAX notify error". When I set net-host up first, this one succeeds and net-net fails after that. So the second one always fails...

Parece que este par também tem problemas se mais de um CHILD_SA for criado por IKE_SA (no entanto, INVALID_SYNTAX é um erro estranho nesse caso). Para evitar que charon.reuse_ikesa em strongswan.conf possa ser desativado. Dessa forma, um novo IKE_SA é criado junto com o segundo CHILD_SA.

O último pode causar problemas se apenas um IKE_SA for permitido por peer. Portanto, outra opção possível (se o par suportar isso) é definir rightsubnet=0.0.0.0/0 (apenas uma seção conn necessária), então o outro par pode restringir isso às sub-redes que ele permite. No entanto, isso é semelhante à sua primeira tentativa, por isso, talvez não funcione com colegas que têm problemas com várias sub-redes por CHILD_SA.

    
por 16.03.2017 / 08:28