Configuré un túnel ipsec con strongswan y abrí con x509 PKI. El túnel se establece correctamente pero tengo algunos problemas.
La puerta de enlace con iked no puede hacer ping a la IP local del enrutador vyatta, pero vyatta puede hacer ping a la IP local de la puerta de enlace con iked.
La subred 10.1.1.0/24 no puede unirse a la subred 10.3.3.0/24 (y viceversa)
A continuación, un esquema de mi configuración:
10.2.2.0/24 10.3.3.0/24
+---------------+ +--------+.100 +-------+ ISP +---------+.1
|Private subnet +---^| FW +------^+ Box +^---------+FW |
+---------------+ 1.--------+ +-------+ +---------+
10.1.1.0/24 Strongswan NAT OpenBSD (iked)
vyatta
Mi iked.conf:
ikev2 "site2" passive esp \
from 10.3.3.1 to 10.2.2.100 \
from 10.3.3.0/24 to 10.1.1.0/24 \
peer any local any \
srcid iked.example.com dstid vyatta.example.com \
#ikesa auth hmac-sha2-256 enc aes-256-ctr group modp2048 \
childsa auth hmac-sha2-512 enc aes-256-ctr group modp2048 \
tag "$name-$id"
Mi ipsec.conf (strongswan):
conn site1
keyexchange=ikev2
dpddelay=5s
dpdtimeout=60s
dpdaction=restart
left=%defaultroute
leftcert=vyatta.crt.pem
leftsubnet=10.1.1.0/24,10.2.2.100
leftfirewall=yes
leftid="vyatta.example.com"
right=10.3.3.1
rightsubnet=10.3.3.0/24
rightid="iked.example.com"
auto=start
Pero, cuando agrego estas dos rutas en mi puerta de enlace iked, todo funciona:
route add -inet 10.2.2.100 -llinfo -link -static -iface vmx1
route add -inet 10.1.1.0/24 10.2.2.100
excepto por una cosa. Cuando hice una combinación de redirección rdr-to y nat-to desde mi filtro de paquetes, no funcionó. El paquete se redirige correctamente hacia un servidor en la subred 10.1.1.0/24 y la IP src está protegida (snat es 10.3.3.1). Noté que openbsd no reenvió porque solicitó una dirección arp para 10.2.2.100, lo que no entiendo. Entonces no tengo idea de por qué el paquete no está encapsulado en el túnel, no veo nada cuando hago "tcpdump enc0".
Entonces, tengo dos preguntas:
- ¿Por qué mi puerta de enlace iked no puede hacer ping a la puerta de enlace de Vyatta sin ruta? ¿Falta algo en mi archivo de configuración (iked.conf)?
- ¿Por qué openbsd realizó una solicitud arp en lugar de redirigir el paquete en enc0?
Respuesta1
Esta pregunta tiene algunos meses, por lo que probablemente ya hayas descubierto tu problema hace mucho tiempo. Y de todos modos, esto probablemente no responda a tu pregunta. Pero noto que has comentado la ikesaopción en tu iked.confarchivo. Acabo de descubrir (por las malas) que todo lo que sigue al comentario no se evaluará. Entonces, si está utilizando pfpara hacer referencia a su $name-$idetiqueta, no se evaluará correctamente porque ikednunca interpretará esta opción. Lo mismo para tu childsa, si eso es importante para tu configuración.