Strongswan VPN установлен, но пакеты не маршрутизируются


8

Я настраиваю VPN с использованием strongSwan между экземпляром Linux на экземпляре Amazon EC2 и удаленной сетью через концентратор Cisco. Мне нужно направить пакеты с самого экземпляра Linux на машину в удаленной подсети.

Соединение установлено ОК, но пакеты не маршрутизируются.

Я думаю, что мне нужно установить некоторые конкретные правила маршрутизации, как мне это сделать?

Програмное обеспечение

  • Ядро Linux 3.5.0-41,
  • Ubuntu 12.10,
  • strongSwan 5.1.1 (построен из исходного кода),
  • iptables - без правил.

сеть

Местный

  • Amazon Elastic IP: 56.xxx
  • Общественный IP-адрес локальной сети: 172.xxx
  • Локальная виртуальная подсеть: 10.254.0.0/16
  • Локальный виртуальный IP: 10.254.5.174

Дистанционный пульт

  • Публичный IP концентратора Cisco: 62.xxx
  • Удаленная подсеть: 10.192.0.0/12

конфигурация

ipsec.conf

config setup

conn %default
    keyexchange = ikev1
    type = tunnel
    ikelifetime = 86400
    keylife = 28800
    keyingtries = %forever
    esp = 3des-sha
    ike = 3des-md5-modp1024
    forceencaps = yes
    leftauth = psk
    rightauth = psk

conn myconnection
    left = 172.x.x.x
    leftsubnet = 10.254.0.0/16
    leftsourceip = 10.254.5.174
    leftfirewall = yes
    right = 62.x.x.x
    rightsubnet = 10.192.0.0/12
    auto = route

include /var/lib/strongswan/ipsec.conf.inc

strongswan.conf

charon {
    cisco_unity             = yes
    install_routes          = yes
    install_virtual_ip      = yes
    threads                 = 16
    plugins {
        sql {
            loglevel = -1
        }
    }

    filelog {
        /var/log/charon.log {
            time_format = %b %e %T
            default = 3
            flush_line = yes
        }
    }
}

pluto {
}

libstrongswan {
}

ipsec statusall

# ipsec statusall
Status of IKE charon daemon (strongSwan 5.1.1, Linux 3.5.0-41-generic, x86_64):
  uptime: 4 days, since Jan 22 14:24:08 2014
  malloc: sbrk 270336, mmap 0, used 222672, free 47664
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 3445
  loaded plugins: charon aes des rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem fips-prf gmp xcbc cmac hmac attr kernel-netlink resolve socket-default stroke updown xauth-generic
Listening IP addresses:
  172.x.x.x
  54.x.x.x
Connections:
    smsbrick:  172.x.x.x...62.x.x.x  IKEv1
    smsbrick:   local:  [172.x.x.x] uses pre-shared key authentication
    smsbrick:   remote: [62.x.x.x] uses pre-shared key authentication
    smsbrick:   child:  10.254.0.0/16 === 10.192.0.0/12 TUNNEL
Routed Connections:
    smsbrick{1}:  ROUTED, TUNNEL
    smsbrick{1}:   10.254.0.0/16 === 10.192.0.0/12 
Security Associations (1 up, 0 connecting):
    smsbrick[8150]: ESTABLISHED 1 second ago,    172.x.x.x[172.x.x.x]...62.x.x.x[62.x.x.x]
    smsbrick[8150]: IKEv1 SPIs: xxxxxxxxxxxxxx_i* xxxxxxxxxxxxx_r, pre-shared key reauthentication in 23 hours
    smsbrick[8150]: IKE proposal: 3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024
    smsbrick[8150]: Tasks queued: QUICK_MODE 
    smsbrick[8150]: Tasks active: MODE_CONFIG

ip xfrm

# ip xfrm policy
src 10.192.0.0/12 dst 10.254.0.0/16 
        dir fwd priority 3987 
        tmpl src 62.x.x.x dst 172.x.x.x
                proto esp reqid 1 mode tunnel
src 10.192.0.0/12 dst 10.254.0.0/16 
        dir in priority 3987 
        tmpl src 62.x.x.x dst 172.x.x.x
                proto esp reqid 1 mode tunnel
src 10.254.0.0/16 dst 10.192.0.0/12 
        dir out priority 3987 
        tmpl src 172.x.x.x dst 62.x.x.x
                proto esp reqid 1 mode tunnel
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket out priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
        socket out priority 0 
src ::/0 dst ::/0 
        socket in priority 0 
src ::/0 dst ::/0 
        socket out priority 0 
src ::/0 dst ::/0 
        socket in priority 0 
src ::/0 dst ::/0 
        socket out priority 0

2
Соединение не установлено. Соединение кажется застрявшим во время настройки режима (поскольку вы настроили leftsourceip ), проверьте подробности в журнале с обеих сторон (скорее всего, узел Cisco не ожидает обмена настройкой режима). Вы уже посмотрели на вики-сайт strongSwan ?
ecdsa

Ответы:


3

Извините за некропост по этой теме, просто в одном месте не так много информации об этой конкретной конфигурации с точки зрения устранения неполадок.

Мой конфиг:

  • AWS: Strongswan 5.1.3
  • Corp: Cisco ASA5520 8.4 (4) 1

Симптомы:

  1. Может всегда инициировать туннель и пинг из частной локальной сети Cisco ASA в частную локальную сеть AWS.
  2. На тайм-ауте / перезапуске туннеля я не мог инициировать или пропинговать от AWS до Cisco ASA, если / пока трафик не был произведен со стороны Cisco ASA. IPSEC STATUSALLпоказал

    Tasks active: MODE_CONFIG
    Tasks queued: QUICK_MODE
    

Я обнаружил, что с modeconfig=pushи leftsourceip=оба настроены, он застрял на:

Tasks active: MODE_CONFIG
Tasks queued: QUICK_MODE

Удаление modeconfig=pushоставило это застряло в:

Tasks active: MODE_CONFIG

Удаление leftsourceip=сделало свое дело, и все было в порядке и стабильно в обоих направлениях.

Я полагаю, что эти два нужны PIX, возможно, какой-то более старой версии ASA, но не этой.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.