como a sub-rede sobreposta em 2 SA em strongswan determina qual túnel ir?

0

eu tenho 2 túneis de ikev1, com sobreposição em leftsubnet e rightsubnet, como o pacote que envia sabe para qual túnel ele encaminha para encapsular first_4a010003 whay é que e como eu decido que túnel o pacote irá encaminhar? minha configuração é:

# cat /etc/ipsec.conf
conn %default
        keyexchange=ikev1
        authby=secret
        type=tunnel
        include ipsec.*.conf
conn second_4a010001
        left=50.50.50.11 #
        leftsubnet=20.20.20.0/28 
        right=50.50.50.50
        rightsubnet=30.30.30.0/28 
        esp=aes128gcm64-aes128gcm128-aes128gcm96-modp2048 
        lifetime=9999s 
        lifebytes=313032704
        auto=route 
conn first_4a010003
        left=10.10.10.11 
        leftsubnet=20.20.20.0/24 
        right=10.10.10.10 
        rightsubnet=30.30.30.0/24
        esp=aes128-sha1-modp2048 
        lifetime=8000s 
        lifebytes=313032704 
        auto=route

quando é enviado o pacote para 30.30.30.30 para qual túnel ele irá?

# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         172.17.235.1    0.0.0.0         UG    1      0        0 eth0
10.10.10.0      0.0.0.0         255.255.255.0   U     0      0        0 eth2
20.20.20.0      0.0.0.0         255.255.255.0   U     0      0        0 eth5
50.50.50.0      0.0.0.0         255.255.255.0   U     0      0        0 eth1

# ip route
default via 172.17.235.1 dev eth0  proto none  metric 1 notify
10.10.10.0/24 dev eth2  proto kernel  scope link  src 10.10.10.11
20.20.20.0/24 dev eth5  proto kernel  scope link  src 20.20.20.20 linkdown
50.50.50.0/24 dev eth1  proto kernel  scope link  src 50.50.50.11
172.17.235.0/24 dev eth0  proto kernel  scope link  src 172.17.235.236
    
por junior_software 15.01.2018 / 16:28

1 resposta

0

Isso é decidido pelas políticas IPsec de saída e por suas prioridades. Você pode ver aqueles com o comando ip xfrm policy . Ao instalar tais políticas, o strongSwan usa prioridades mais altas (valores numéricos menores) para políticas mais específicas. Por exemplo, um pacote endereçado a 30.30.30.1 usará a SA criada para a conexão second_4a010001 (desde que o endereço de origem esteja em 20.20.20.0/28 ) porque /28 subnets resultará em uma prioridade mais alta de /24 sub-redes.

No entanto, os pacotes endereçados a 30.30.30.30 usarão o SA criado com a outra conexão porque esse endereço não faz parte da sub-rede /28 .

    
por 22.01.2018 / 10:55