Strongswan / Ipsec múltiplas conexões roadwarrior diferentes sub-redes

tag-icon tag-icon windows vpn ipsec strongswan point-to-site-vpn
Strongswan / Ipsec múltiplas conexões roadwarrior diferentes sub-redes

Estou tentando configurar um servidor VPN StrongSwan que deve hospedar várias conexões roadwarrior (Windows 10 - cliente VPN interno), mas sub-redes diferentes, dependendo do certificado do cliente.

root@VPN:/# ipsec version

Linux strongSwan U5.8.2/K5.4.0-26-generic

Minha configuração tem 2 pares de chaves pública e privada, usando CNs diferentes, digamos vpn-dev.mycom.come vpn-liv.mycom.com. O usado ipsec.confé mais ou menos assim:

conn vpn-dev
    auto=add
    compress=no
    type=tunnel
    keyexchange=ikev2
    fragmentation=yes
    forceencaps=yes
    dpdaction=clear
    dpddelay=300s
    rekey=no
    ikelifetime=25200s
    leftid=vpn-dev.mycom.com
    leftcert=server-cert.pem
    leftsendcert=always
    leftsubnet=0.0.0.0/0
    right=%any
    rightid=%any
    rightauth=eap-mschapv2
    rightsourceip=10.100.0.0/16-10.100.254.254/16
    rightdns=8.8.8.8,8.8.4.4
    rightsendcert=never
    rightcert=ca-cert.pem
    eap_identity=%identity
    ike=aes128-sha1-modp1024


conn vpn-liv
    also=vpn-dev
    leftid=vpn-liv.mycom.com
    leftcert=liv-server-cert.pem
    rightsourceip=10.200.0.0/16-10.200.254.254/16
    rightcert=liv-ca-cert.pem

ambas as chaves de certificado também são armazenadas noipsec.secrets

vpn-dev.mycom.com : RSA "server-key.pem"
vpn-liv.mycom.com : RSA "liv-server-key.pem"

someuser : EAP "somepassword"

No entanto, assim que tento conectar-me à instância do Strongswan, a vpn-devconexão é usada e o Strongswan não está mudando para connvpn-liv

aqui estão os logs durante uma tentativa:

Mar 30 08:47:48 VPN charon: 16[NET] received packet: from X.X.X.X[64558] to X.X.X.X[500] (1084 bytes)
Mar 30 08:47:48 VPN charon: 16[IKE] received MS NT5 ISAKMPOAKLEY v9 vendor ID
Mar 30 08:47:48 VPN charon: 16[IKE] received MS-Negotiation Discovery Capable vendor ID
Mar 30 08:47:48 VPN charon: 16[IKE] X.X.X.X is initiating an IKE_SA
Mar 30 08:47:48 VPN charon: 16[CFG] selected proposal: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Mar 30 08:47:48 VPN charon: 16[IKE] local host is behind NAT, sending keep alives
Mar 30 08:47:48 VPN charon: 16[IKE] remote host is behind NAT
Mar 30 08:47:48 VPN charon: 16[NET] sending packet: from X.X.X.X[500] to X.X.X.X[64558] (328 bytes)
Mar 30 08:47:48 VPN charon: 06[NET] received packet: from X.X.X.X[64596] to X.X.X.X[4500] (576 bytes)
Mar 30 08:47:48 VPN charon: 10[NET] received packet: from X.X.X.X[64596] to X.X.X.X[4500] (576 bytes)
Mar 30 08:47:48 VPN charon: 05[NET] received packet: from X.X.X.X[64596] to X.X.X.X[4500] (576 bytes)
Mar 30 08:47:48 VPN charon: 14[NET] received packet: from X.X.X.X[64596] to X.X.X.X[4500] (368 bytes)
Mar 30 08:47:48 VPN charon: 14[IKE] received cert request for "CN=PRIV VPN LIV CA"
Mar 30 08:47:48 VPN charon: 14[IKE] received 69 cert requests for an unknown ca
Mar 30 08:47:48 VPN charon: 14[CFG] looking for peer configs matching X.X.X.X[%any]...X.X.X.X[192.168.0.117]

Mar 30 08:47:48 VPN charon: 14[CFG] selected peer config 'vpn-dev' # << here it has not selected vpn-live, even if the earlier provided private key is only matching vpn-live

Mar 30 08:47:48 VPN charon: 14[IKE] initiating EAP_IDENTITY method (id 0x00)
Mar 30 08:47:48 VPN charon: 14[IKE] peer supports MOBIKE
Mar 30 08:47:48 VPN charon: 14[IKE] authentication of 'vpn-dev.mycom.com' (myself) with RSA     signature successful
Mar 30 08:47:48 VPN charon: 14[IKE] sending end entity cert "CN=vpn-dev.mycom.com"
Mar 30 08:47:49 VPN charon: 14[IKE] sending cert request for "CN=PRIV VPN DEV CA"
Mar 30 08:47:49 VPN charon: 14[IKE] sending cert request for "CN=PRIV VPN LIV CA"
Mar 30 08:47:49 VPN charon: 14[NET] sending packet: from X.X.X.X[500] to X.X.X.X[64548] (364 bytes)
Mar 30 08:47:49 VPN charon: 06[NET] received packet: from X.X.X.X[64618] to X.X.X.X[4500] (92 bytes)
Mar 30 08:47:49 VPN charon: 06[IKE] received (28) error notify

o objetivo é basicamente hospedar 2 endpoints VPN em uma máquina, mas fornecer diferentes intervalos de IP dependendo do login/certificado usado.

A configuração local é feita com (powershell)

Import-Certificate -FilePath liv-ca-cert.pem -CertStoreLocation 'Cert:\LocalMachine\Root'
Add-VpnConnection -Name 'LIV VPN' -ServerAddress 'vpn-live.mycom.com' -AuthenticationMethod Eap -IdleDisconnectSeconds 43200

estou esquecendo de algo? minha configuração está mal configurada? ou isso simplesmente não é possível com o cliente VPN interno Strongswan e Windows 10?

Responder1

Só é possível alternar conexões com base na identidade/certificado do servidor se

  • os clientes enviam uma identidade remota (IDr) em sua solicitação IKE_AUTH, o que muitos clientes não fazem (em particular o Windows), caso contrário, não há identidade correspondente, então a primeira conexão será usada

ou

  • se os FQDNs mapearem para endereços IP diferentes, que podem ser configurados como endereços locais para as conexões, para que a conexão correta seja selecionada antecipadamente

Responder2

Acontece que não é possível usar o certificado, pois eles não são usados ​​para identificar usuários no servidor.

Então acabei usando uma solução alternativa descrita emesta respostao que ajuda a avaliar o eap_identiy.

Agora meus clientes usam o mesmo certificado, mas com base nos logins posso decidir qual sub-rede eles usarão.

Meu ipsec.conf agora se parece com isto:

conn eap-shared
   type=tunnel
   ike=aes128-sha1-modp1024
   rightauth=eap-mschapv2
   leftcert=server-cert.pem

conn eap-init
   also=eap-shared
   # this config is used to do the EAP-Identity exchange and the
   # authentication of client and server
   eap_identity=%identity
   # the following is used to force a connection switch after
   # the authentication completed
   rightgroups=thisseemsirrelevant
   auto=add

conn eap-liv
   also=eap-shared
   eap_identity=*@liv-some-domain.com
   rightsourceip=10.200.0.0/16-10.200.254.254/16
   auto=add

conn eap-dev
   also=eap-shared
   eap_identity=*@dev-some-domain.com
   rightsourceip=10.100.0.0/16-10.100.254.254/16
   auto=add

pode não ser a solução mais elegante, mas funciona no meu caso.

Responder3

Para múltiplas configurações de conexão com o mesmo método de autenticação, o Strongswan é capaz de selecionar o método adequado com base na identidade do cliente.

Usando duas configurações de conexão, por exemplo:

  1. Ambos do lado direito usando pubkey, podemos usar rightcacomo restrição:
    conn dev-network_ikev2-cert
        rightauth=pubkey
        rightca="C=CN, O=Sample, CN=Develop CA"
        rightsourceip=10.100.0.0/16
        rightdns=8.8.8.8
    
    conn test-network_ikev2-cert
        rightauth=pubkey
        rightca="C=CN, O=Sample, CN=Testing CA"
        rightsourceip=10.200.0.0/16
        rightdns=8.8.8.8

  • Nesta configuração, o cliente com certificados emitidos por Develop CAselecionará a configuração dev-network_ikev2-certdiretamente.

  • Se o cliente usar certificados emitidos por Testing CA, o Strongswan selecionará primeiro config dev-network_ikev2-cert, depois produzirá constraint check failed: peer not authenticated by CA 'C=CN, O=Sample, CN=Develop CA'e selecionará o próximo test-network_ikev2-cert.

  1. Ambos do lado direito usando eap-mschapv2, podemos usar eap_identitycomo restrição:
    conn dev-network_ikev2-eap
        rightauth=eap-mschapv2
        eap_identity=*@dev.com
        rightsourceip=10.100.0.0/16
        rightdns=8.8.8.8
    
    conn test-network_ikev2-eap
        rightauth=eap-mschapv2
        eap_identity=*@test.com
        rightsourceip=10.200.0.0/16
        rightdns=8.8.8.8

Este é o método usado por Flo. O Strongswan fará uma lógica de verificação semelhante à do pubkey.

  • Se o cliente estiver usando a identidade *@test.com, o Strongswan selecionará primeiro dev-network_ikev2-eap, depois localizará constraint check failed: EAP identity '*@dev.com' requirede selecionará o próximo test-network_ikev2-eap.

Espero que isso ajude.

informação relacionada