Strongswan でトンネル ipsec を設定し、x509 PKI で openiked しました。トンネルは正しく確立されましたが、いくつか問題があります。
iked を備えたゲートウェイはルータ vyatta のローカル IP に ping できませんが、vyatta は iked を備えたゲートウェイのローカル IP に ping できます。
サブネット10.1.1.0/24はサブネット10.3.3.0/24に参加できません(逆も同様です)
以下は私の設定のスキーマです:
10.2.2.0/24 10.3.3.0/24
+---------------+ +--------+.100 +-------+ ISP +---------+.1
|Private subnet +---^| FW +------^+ Box +^---------+FW |
+---------------+ 1.--------+ +-------+ +---------+
10.1.1.0/24 Strongswan NAT OpenBSD (iked)
vyatta
私のiked.conf:
ikev2 "site2" passive esp \
from 10.3.3.1 to 10.2.2.100 \
from 10.3.3.0/24 to 10.1.1.0/24 \
peer any local any \
srcid iked.example.com dstid vyatta.example.com \
#ikesa auth hmac-sha2-256 enc aes-256-ctr group modp2048 \
childsa auth hmac-sha2-512 enc aes-256-ctr group modp2048 \
tag "$name-$id"
私の ipsec.conf (strongswan):
conn site1
keyexchange=ikev2
dpddelay=5s
dpdtimeout=60s
dpdaction=restart
left=%defaultroute
leftcert=vyatta.crt.pem
leftsubnet=10.1.1.0/24,10.2.2.100
leftfirewall=yes
leftid="vyatta.example.com"
right=10.3.3.1
rightsubnet=10.3.3.0/24
rightid="iked.example.com"
auto=start
しかし、iked ゲートウェイに次の 2 つのルートを追加すると、すべてが機能します。
route add -inet 10.2.2.100 -llinfo -link -static -iface vmx1
route add -inet 10.1.1.0/24 10.2.2.100
ただし、1 つだけ例外があります。パケット フィルタからリダイレクト rdr-to と nat-to の組み合わせを作成したところ、機能しませんでした。パケットは 10.1.1.0/24 サブネット上のサーバに正しくリダイレクトされ、src ip は nat されています (snat は 10.3.3.1)。openbsd が 10.2.2.100 の arp アドレスを要求したために転送されなかったことに気付きましたが、その理由はわかりません。したがって、パケットがトンネルでカプセル化されない理由がわかりません。"tcpdump enc0" を実行しても何も表示されません。
そこで、2つの質問があります。
- iked ゲートウェイがルートなしで vyatta ゲートウェイに ping できないのはなぜですか? 構成ファイル (iked.conf) に何か不足しているのでしょうか?
- openbsd が enc0 でパケットをリダイレクトする代わりに arp 要求を行ったのはなぜですか?
答え1
この質問は数か月前のものなので、おそらくあなたはずっと前に問題を解決しているでしょう。そして、これはあなたの質問の答えにはならないでしょう。しかし、ファイルikesa内のオプションをコメント アウトしていることにiked.conf気づきました。コメントに続くものはすべて評価されないことを (苦労して) 知りました。したがって、タグpfを参照するために を使用している場合、 はこのオプションを解釈しない$name-$idため、正しく評価されません。 についても同様です。これが設定にとって重要である場合は。ikedchildsa