Estou tentando configurar uma VPN usando o Strongswan na máquina VPS CentOS com um dispositivo Cisco como um ponto remoto. Eu fiz isso com sucesso algumas vezes antes nas caixas Ubuntu, mas esta é a primeira vez que eu tento o CentOS. Eu tenho as mesmas configurações que eu normalmente tenho no Ubuntu (listado abaixo) no lugar e strongswan diz que a conexão foi estabelecida com sucesso mas então nenhum tráfego flui (ou seja, pings, traceroutes e telnets falham).
Eu notei essa linha em particular no log quando a conexão é estabelecida e acho que é isso que está causando o problema:
received netlink error: Network is unreachable (101)
unable to install source route for 192.168.129.130
CHILD_SA vodacom_sms{2} established with SPIs c112dd9c_i b05a07c7_o and TS 192.168.129.130/32 === 10.201.47.17/32
connection 'vodacom_sms' established successfully
Talvez eu esteja interpretando mal a mensagem, mas é estranho que me dê este erro, já que a rede inacessível é o meu dispositivo VPN (interface virtual lo: 1) e eu posso fazer o ping dele. Você já teve essa situação antes? O que isso significa? Como você lidou com isso?
Definições de configuração relevantes
[root@RFXH001 ~]# ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 207.244.105.80 netmask 255.255.255.0 broadcast 207.244.105.255
inet6 fe80::434:c6ff:fe00:b1d prefixlen 64 scopeid 0x20<link>
ether 06:34:c6:00:0b:1d txqueuelen 1000 (Ethernet)
RX packets 4177428 bytes 661606684 (630.9 MiB)
RX errors 0 dropped 2 overruns 0 frame 0
TX packets 1602131 bytes 463127510 (441.6 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10<host>
loop txqueuelen 1 (Local Loopback)
RX packets 129615 bytes 113894304 (108.6 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 129615 bytes 113894304 (108.6 MiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
lo:1: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 192.168.129.130 netmask 255.255.255.0
loop txqueuelen 1 (Local Loopback)
[root@RFXH001 ~]# cat /etc/strongswan/strongswan.conf
charon {
load_modular = yes
duplicheck.enable = no
install_routes = yes
compress = yes
plugins {
include strongswan.d/charon/*.conf
}
routing_table = 254 # main
# two defined loggers
filelog {
/var/log/charon.log {
time_format = %b %e %T
ike_name = yes
append = no
default = 0
flush_line = yes
}
stderr {
ike = 2
knl = 3
}
}
syslog {
identifier = charon-custom
daemon {
}
auth {
default = -1
ike = 0
}
}
}
include strongswan.d/*.conf
[root@RFXH001 ~]# cat /etc/strongswan/ipsec.conf
config setup
# "cfg 4, dmn 4, ike 4, esp 4, mrg 4, net 4, knl 4"
charondebug=all
# strictcrlpolicy=yes
# uniqueids = no
conn %default
type=tunnel
authby=secret
auto=add
# aggresive=no
keylife=1h
rekeymargin=3m
keyingtries=1
keyexchange=ikev1
rekey=yes
ikelifetime=24h
dpddelay=10
dpdtimeout=120
dpdaction=restart
# left = us; right = them/provider
conn vodacom_sms
#monitor 10.201.47.17 5016
ike=aes128-sha1-modp1536!
esp=aes128-sha1!
left=207.244.105.80
# leftsourceip=192.168.129.130
leftsubnet=192.168.129.130/32
leftfirewall=yes
right=197.235.1.30
# rightsourceip=10.201.47.17
rightsubnet=10.201.47.17/32
[root@RFXH001 network-scripts]# cat /etc/strongswan/ipsec.secrets
# ipsec.secrets - strongSwan IPsec secrets file
207.244.105.80 197.235.1.30 : PSK PASS
[root@RFXH001 ~]# firewall-cmd --permanent --list-all
public
target: default
icmp-block-inversion: no
interfaces:
sources:
services: dhcpv6-client http https ipsec ssh
ports: 8443/tcp 500/udp 4500/udp
protocols:
masquerade: yes
forward-ports:
sourceports:
icmp-blocks:
rich rules:
rule protocol value="esp" accept
rule protocol value="ah" accept
Tags centos strongswan