我使用 Strongswan 設定了隧道 ipsec,並使用 x509 PKI 設定了 openiked。隧道建立正確,但我有一些問題。
iked 閘道無法 ping 通路由器 vyatta 的本機 IP,而 vyatta 可以 ping iked 閘道的本機 IP。
子網路 10.1.1.0/24 無法加入子網路 10.3.3.0/24(反之亦然)
下面是我的配置架構:
10.2.2.0/24 10.3.3.0/24
+---------------+ +--------+.100 +-------+ ISP +---------+.1
|Private subnet +---^| FW +------^+ Box +^---------+FW |
+---------------+ 1.--------+ +-------+ +---------+
10.1.1.0/24 Strongswan NAT OpenBSD (iked)
vyatta
我的 iked.conf:
ikev2 "site2" passive esp \
from 10.3.3.1 to 10.2.2.100 \
from 10.3.3.0/24 to 10.1.1.0/24 \
peer any local any \
srcid iked.example.com dstid vyatta.example.com \
#ikesa auth hmac-sha2-256 enc aes-256-ctr group modp2048 \
childsa auth hmac-sha2-512 enc aes-256-ctr group modp2048 \
tag "$name-$id"
我的 ipsec.conf (strongswan):
conn site1
keyexchange=ikev2
dpddelay=5s
dpdtimeout=60s
dpdaction=restart
left=%defaultroute
leftcert=vyatta.crt.pem
leftsubnet=10.1.1.0/24,10.2.2.100
leftfirewall=yes
leftid="vyatta.example.com"
right=10.3.3.1
rightsubnet=10.3.3.0/24
rightid="iked.example.com"
auto=start
但是,當我在我的 iked 網關上添加這兩個路由時,一切正常:
route add -inet 10.2.2.100 -llinfo -link -static -iface vmx1
route add -inet 10.1.1.0/24 10.2.2.100
除了一件事。當我從資料包過濾器中進行重定向 rdr-to 和 nat-to 組合時,它不起作用。封包被正確地重新導向到 10.1.1.0/24 子網路上的伺服器,並且來源 IP 已進行 nat(snat 為 10.3.3.1)。我注意到openbsd沒有轉發,因為它要求10.2.2.100的arp位址,我不明白。所以我不知道為什麼封包沒有封裝在隧道中,當我執行「tcpdump enc0」時我什麼也看不到。
所以,我有兩個問題:
- 為什麼我的 iked 閘道無法在沒有路由的情況下 ping 通 vyatta 閘道?我的設定檔 (iked.conf) 是否缺少某些內容?
- 為什麼openbsd發出arp請求而不是在enc0中重定向封包?
答案1
這個問題已經有幾個月了,所以您可能早就找到了您的問題。無論如何,這可能無法回答您的問題。但我注意到您已註解掉文件ikesa中的選項iked.conf。我剛剛發現(困難的方式)評論後面的所有內容都不會評估。因此,如果您使用pf來引用您的$name-$id標籤,它將無法正確評估,因為iked它永遠不會解釋此選項。childsa如果這對您的設定很重要,則對您來說也是如此。