Strongswan VPN sobe mas nenhum tráfego passa

0

Estou tentando configurar uma VPN usando o Strongswan na máquina VPS CentOS com um dispositivo Cisco como um ponto remoto. Eu fiz isso com sucesso algumas vezes antes nas caixas Ubuntu, mas esta é a primeira vez que eu tento o CentOS. Eu tenho as mesmas configurações que eu normalmente tenho no Ubuntu (listado abaixo) no lugar e strongswan diz que a conexão foi estabelecida com sucesso mas então nenhum tráfego flui (ou seja, pings, traceroutes e telnets falham).

Eu notei essa linha em particular no log quando a conexão é estabelecida e acho que é isso que está causando o problema:

received netlink error: Network is unreachable (101) unable to install source route for 192.168.129.130 CHILD_SA vodacom_sms{2} established with SPIs c112dd9c_i b05a07c7_o and TS 192.168.129.130/32 === 10.201.47.17/32 connection 'vodacom_sms' established successfully

Talvez eu esteja interpretando mal a mensagem, mas é estranho que me dê este erro, já que a rede inacessível é o meu dispositivo VPN (interface virtual lo: 1) e eu posso fazer o ping dele. Você já teve essa situação antes? O que isso significa? Como você lidou com isso?

Definições de configuração relevantes

[root@RFXH001 ~]# ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
    inet 207.244.105.80  netmask 255.255.255.0  broadcast 207.244.105.255
    inet6 fe80::434:c6ff:fe00:b1d  prefixlen 64  scopeid 0x20<link>
    ether 06:34:c6:00:0b:1d  txqueuelen 1000  (Ethernet)
    RX packets 4177428  bytes 661606684 (630.9 MiB)
    RX errors 0  dropped 2  overruns 0  frame 0
    TX packets 1602131  bytes 463127510 (441.6 MiB)
    TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
    inet 127.0.0.1  netmask 255.0.0.0
    inet6 ::1  prefixlen 128  scopeid 0x10<host>
    loop  txqueuelen 1  (Local Loopback)
    RX packets 129615  bytes 113894304 (108.6 MiB)
    RX errors 0  dropped 0  overruns 0  frame 0
    TX packets 129615  bytes 113894304 (108.6 MiB)
    TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo:1: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
    inet 192.168.129.130  netmask 255.255.255.0
    loop  txqueuelen 1  (Local Loopback)


[root@RFXH001 ~]# cat /etc/strongswan/strongswan.conf
charon {
    load_modular = yes
    duplicheck.enable = no
    install_routes = yes
    compress = yes
    plugins {
            include strongswan.d/charon/*.conf
    }
    routing_table = 254 # main

    # two defined loggers
    filelog {
            /var/log/charon.log {
                    time_format = %b %e %T
                    ike_name = yes
                    append = no
                    default = 0
                    flush_line = yes
            }
            stderr {
                    ike = 2
                    knl = 3
            }
    }

    syslog {
            identifier = charon-custom
            daemon {
            }
            auth {
                    default = -1
                    ike = 0
            }
    }
}

include strongswan.d/*.conf

[root@RFXH001 ~]# cat /etc/strongswan/ipsec.conf
config setup
    # "cfg 4, dmn 4, ike 4, esp 4, mrg 4, net 4, knl 4"
    charondebug=all
    # strictcrlpolicy=yes
    # uniqueids = no

conn %default
    type=tunnel
    authby=secret
    auto=add
    # aggresive=no

    keylife=1h
    rekeymargin=3m
    keyingtries=1
    keyexchange=ikev1
    rekey=yes

    ikelifetime=24h

    dpddelay=10
    dpdtimeout=120
    dpdaction=restart

# left = us; right = them/provider
conn vodacom_sms
    #monitor 10.201.47.17 5016
    ike=aes128-sha1-modp1536!
    esp=aes128-sha1!

    left=207.244.105.80
    # leftsourceip=192.168.129.130
    leftsubnet=192.168.129.130/32
    leftfirewall=yes
    right=197.235.1.30
    # rightsourceip=10.201.47.17
    rightsubnet=10.201.47.17/32

[root@RFXH001 network-scripts]# cat /etc/strongswan/ipsec.secrets
# ipsec.secrets - strongSwan IPsec secrets file
207.244.105.80 197.235.1.30 : PSK PASS

[root@RFXH001 ~]# firewall-cmd --permanent --list-all
public
   target: default
   icmp-block-inversion: no
   interfaces:
   sources:
   services: dhcpv6-client http https ipsec ssh
   ports: 8443/tcp 500/udp 4500/udp
   protocols:
   masquerade: yes
   forward-ports:
   sourceports:
   icmp-blocks:
   rich rules:
      rule protocol value="esp" accept
      rule protocol value="ah" accept
    
por Paulo Phagula 14.05.2018 / 22:41

0 respostas